Planeta.OpenAlt.org

Druhé číslo newsletteru (2017, 20. týden)

květen
22
Michal Spacek

Druhé číslo newsletteru převážně o bezpečnosti, bezpečném vývoji převážně webových aplikací a bezpečnosti uživatelů.

Aktualizace článku

  • 22.5. Přidán odkaz na exploit na Joomlu

Minulý týden světem bezpečnosti stále hýbal ransomware WannaCry(pt), který lehce zastínil i další zajímavé události. Tady je přehled toho, co mě zaujalo.

Pokud chcete newsletter dostávat pravidelně, tak využijte export všech článků nebo jenom newsletterů ve formátu Atom.

TLS, SSL, HTTPS

Certifikační autorita Symantec, která v minulosti vystavila minimálně 30 tisíc falešných certifikátů, se dohodla s Googlem. Ten původně navrhoval zkrátit platnost certifikátů od Symantecu na maximálně 9 měsíců a u tzv. EV certifikátů nezobrazovat příznak Extended Validation (tedy název firmy). Dohoda říká, že od 8. srpna budou certifikáty Symantecu vystavovány jednou nebo více nezávislými certifikačními autoritami („Managed CAs“), které budou moci vystavovat i EV certifikáty. Tyto „Managed CAs“ mohou být křížově podepsány Symantecem tak, aby se využily stávající kořenové certifikáty v prohlížečích. Certifikáty vydané Symantecem po 1. červnu 2016 budou fungovat i nadále. Ty starší by od Chrome 65 (datum vydání 18. ledna 2018) neměly být platné. Nezávislé certifikační autority budou muset od 1. února 2018 také ověřovat žádosti o certifikáty, do té doby mohou použít informace Symantecu. Ten musí vytvořit úplně novou certifikační autoritu, která bude muset být znovu přidána do úložišť důvěryhodných certifikátů.

Firefox i Chrome od ledna zobrazují varování na stránce načtené pomocí nezabezpečeného HTTP pokud je na ní políčko pro zadání hesla. To samozřejmě negativně ovlivnilo i falešné stránky loudící od uživatelů jejich přihlašovací údaje a tak počet phishingových stránek na HTTPS stoupl třikrát. Certifikáty jsou dnes zdarma dostupné pro každého (např. od certifikační autority Let's Encrypt), tedy i pro podvodníky. Mohlo to být ale i tím, že phishingové stránky jsou často hostované na hacknutých webech, které na HTTPS přešly. V každém případě doporučení že bezpečný web poznáte podle HTTPS a zámečku již dlouho neplatí.

Počet uživatelů, kteří ignorují varování Chrome o chybě při připojení na HTTPS servery klesl na 33 % (Windows) a 17 % na Androidu. V roce 2013 to bylo 70 %. To kdybyste potřebovali nějaká čísla do prezentací. Kdybyste sháněli i nějaká data nebo roky, tak je najdete v přehledu historie SSL/TLS. Mohlo by vás překvapit, že protokol SSL 3 je z roku 1995 a TLS 1.2 z roku 2008.

Certifikační autorita Let's Encrypt měla v pátek několikahodinový výpadek OCSP (Online Certificate Status Protocol) serverů. Ty slouží k ověření platnosti certifikátů, prohlížeč na ně může po obdržení certifikátu poslat dotaz aby zjistil, jestli certifikát nebyl revokován (zrušen). Browsery to většinou nedělají, protože to zdržuje načtení stránky, místo toho se používá technika zvaná OCSP Stapling. Spočívá v připojení („přicvaknutí“) OCSP odpovědi rovnou k počátečnímu navázání šifrovaného spojení mezi prohlížečem a serverem, takže browser má informaci hned a nemusí nikam nic posílat.

Jenže implementace OCSP Staplingu v serveru Apache je chybná. Pokud Apache obdrží chybu při dotazu na OCSP server, tak tou chybou nahradí stále platnou předchozí odpověď, ačkoliv by nemusel a neměl. Nginx začne „přicvakávat“ OCSP odpověď až když ji získá, takže v klidu pošle první odpověď bez OCSP statusu. To se dá řešit stahováním odpovědi mimo nginx a tomu pak říct, že ji má hledat v souboru, na který ukazuje direktiva ssl_stapling_file, ale ta nepodporuje více certifikátů pro jeden web. Více různých certifikátů se používá pro duální nasazení RSA („běžných“) a ECDSA certifikátů (ty používají tzv. eliptické křivky).

Výpadek Let's Encrypt popsal šéf Josh Aas. Ve zkratce: pro OCSP požadavky se používá kódování Base64, ve kterém se mohou vyskytnout dvě lomítka za sebou. V Let's Encrypt upravili webové servery tak, aby ze dvou lomítek nedělaly jen jedno, což je sice standardní chování, ale pro OCSP nevhodné. Jenže některé prohlížeče posílají na OCSP servery Let's Encrypt požadavek se dvěma lomítky mezi doménou a Base64 daty (http://ocsp.int-x3.letsencrypt.org//<base64>), což po „opravě“ znamenalo, že Base64 data nešla dekódovat a servery vracely chybu. Ta se nekešovala na CDN a tak skoro všechny požadavky šly až na servery Let's Encryptu, ty nápor nezvládly a celá infrastruktura Let's Encrypt se položila. Nešly ani vystavovat certifikáty a problémy hlásili i uživatelé webového serveru Caddy. Ten nemohl při startu kontaktovat Let's Encrypt pro vystavení nového certifikátu a tak se nespustil. Autor již vydal novou verzi, která se spustí i když nejde vystavit nový certifikát za předpokladu, že starý expiruje za více než 7 dní.

Prohlížeče

Mozilla plánuje z Firefoxu odstranit podporu pro Encrypted Media Extensions (EME) na nešifrovaném HTTP a nadále pro EME vyžadovat HTTPS. Chrome to samé udělal v aktuální verzi 58, Mozilla to chce stihnout do konce roku. Encrypted Media Extensions dovoluje používat zašifrovaný obsah ve videu v HTML5, využívá toho například společnost Netflix, která se zabývá mj. distribucí video obsahu po Internetu.

Safari od verze 30 (aktuálně jako Technology Preview) podporuje bezpečnostní hlavičku X-Content-Type-Options: nosniff. Tu by ze serveru do prohlížeče měly posílat všechny aplikace a hlavně ty, do kterých uživatelé mohou nahrávat své soubory. Některé prohlížeče totiž očmuchávají obsah dat a když se jim zdá, že to vypadá třeba jako JavaScript, tak to začnou za JavaScript považovat. A to i přesto, že to byl původně obyčejný textový soubor, který do prohlížeče dorazil s typem text/plain. Útočník by tak mohl například pomocí nahraného textového souboru spustit útok XSS a získat obsah cookies uživatele. Hlavička X-Content-Type-Options: nosniff takové „očmuchávání“ vypíná. Jestli hlavičku posíláte si můžete zkontrolovat na securityheader­s.io. V Safari Technology Preview 30 je nově také Subresource Integrity (SRI), tedy ochrana proti modifikaci souborů např. na CDN. SRI jsem detailněji popisoval minule.

Chyby a zranitelnosti

Populární nástroj pro správu obsahu (CMS) Joomla! verze 3.7 obsahuje jednoduše zneužitelnou chybu SQL Injection v komponentě com_fields. Chyba byla opravena ve verzi 3.7.1. SQL Injection mizerům umožní získat data z tabulek v databázi, ke kterým běžně nemají přístup, například uživatelská jména a hesla. Útok SQL Injection a ochranu proti němu si ukazujeme i na školení Bezpečnosti webových aplikací (14. 6. 2017 Praha). Aktualizace 22.5.: objevil se kód, který chybu umí zneužít.

Hacker s přezdívkou Procode701 nahlásil Uberu před sedmi měsíci chybu, která umožňovala unést účet jakémukoliv uživateli pomocí chyby v resetu zapomenutého hesla. Taková obnova by měla probíhat tak, že zadáte e-mailovou adresu, aplikace na ni pošle náhodně vygenerovaný a unikátní odkaz, vy na něj kliknete a můžete nastavit nové heslo. Uber ovšem náhodně vygenerovaný identifikátor zaslal zpátky i do prohlížeče uživatele. Útočník tak mohl zadat e-mailovou adresu jakéhokoliv zákazníka Uberu a z odpovědi serveru si zjistit i vygenerovaný identifikátor. Ten pak ručně mohl přidat do odkazu, načíst danou stránku a heslo k zadané adrese nastavit ve svém prohlížeči.

WordPress má bug bounty program. Když v něm naleznete nějakou bezpečnostní chybu, můžete ji nahlásit a získat finanční odměnu. Platí to i pro projekty BuddyPress, bbPress, GlotPress a WP-CLI a do programu odměn jsou zahrnuty hlášení bezpečnostních chyb na následujících doménách: wordpress.org, bbpress.org, wordcamp.org, buddypress.org, glotpress.org, api.wordpress.org. Detaily najdete na platformě HackerOne, na které WordPress svůj bug bounty program provozuje.

Nové verze a vlastnosti

End-to-End šifrování zajistí, že k vašim zprávám nemá přístup ani provozovatel serverů, přes které se posílají. Takové šifrování používá například WhatsApp, který je postaven na Signal Protocolu. Šifrování End-to-End používá i Facebook Messenger pro tzv. Secret Conversations, které jsou dostupné pro Android a iOS. Ty Facebook spustil již loni v létě, ale až teď mají uživatelé možnost používat více zařízení, což znamená, že zprávy můžete dostávat zároveň na mobil i na tablet. Podobně to umí i komunikátor Signal, podle kterého se jmenuje onen protokol, ale má navíc i klienta pro Chrome, který můžete ovládat všemi deseti i na počítači.

Nejlepší™ šifrovací knihovna pro PHP defuse/php-encryptionnovou verzi 2.1.0. Ta usnadňuje načítání šifrovacích klíčů ze souborů, ignoruje odřádkování (a další „bílé znaky“) na konci souborů s klíči. Pokud v PHP šifrujete data, měli byste používat tuto knihovnu, autoři se vyznají v kryptografii a snaží se knihovnu vytvářet tak, aby bylo těžké ji použít špatně.

Novou knihovnu pro šifrování v Javě a C++ s využitím cloudových úložišť šifrovacích klíčů vytvořila parta kryptologů a vývojářů z Google. Jmenuje se Tink, zatím není dokončená a nemá žádný release, ale vypadá nadějně právě díky podpoře úložišť jako např. Amazon KMS. V budoucnu by knihovna měla podporovat i Go, Python a JavaScript. Asi by se slušelo zopakovat, že šifrovací knihovny byste si nikdy neměli psát sami, je totiž velmi jednoduché navrhnout algoritmy, které vy sami nedokážete prolomit. Ale to neznamená, že to nedokáže ani váš soused na síti.

Když se vám při přihlašování na vzdálený SSH server objeví hláška, že se změnil klíč, pátrate po důvodu? Naprostá většina uživatelů nejspíš ne. Toho právě využívá SSH MITM, patch pro OpenSSH, který z něj udělá proxy server umožňující zachytávat procházející provoz, včetně hesel. SSH MITM se hodí jako nástroj pro testování nejen ostražitosti uživatelů při přístupu na vzdálené servery.

Úniky dat

Kanadská telekomunikační společnost Bell přiznala, že někdo získal 1,9 milionu uživatelských účtů z jejich databáze (ve skutečnosti to bylo 2,2 milionu). Data byla volně ke stažení na Internetu, útočníci vyhrožují uvolněním dalších dat, pokud Bell nebude „spolupracovat“ (asi překlep, chtěli spíš napsat „platit“). Podobný incident se odehrál počátkem roku 2014, tenkrát někdo získal zhruba 21 tisíc uživatelských účtů ze systémů dodavatele Bellu.

Skoro 700 tisíc účtů a hesel hashovaných pomocí MD5 získal útočník ze serveru na sdílení fontů DaFont. Využil k tomu zranitelnost SQL Injection, která mizerovi umožňuje upravit dotazy zasílané do databáze a získat tak data, která běžně nejsou zobrazována. Data uniklá z DaFont i ze společnosti Bell jsou již nahrána do služby Have I Been Pwned, tam můžete zjistit, jestli v úniku nebyl i váš e-mail a případně si nechat zasílat notifikace nebo prohledávat celou vaší doménu. Hashovací algoritmus MD5 je pro ukládání hesel zcela nevhodný, dovoluje útočníkům generovat miliardy hashů za vteřinu a porovnávat je s těmi, které získali z databáze a tím tak získat hesla uživatelů, kteří je často používají i třeba pro přístup k e-mailovým schránkám.

120000 hashovaných hesel ze seznamky PureMatrimony uniklo ze systémů dodavatele. Data byla volně ke stažení, hesla byla hashována opět pomocí nevhodného algoritmu MD5, překvapení!

Společnost DocuSign vytvářející software pro elektronické podepisování potvrdila, že kdosi získal seznam e-mailových adres uživatelů, kteří u DocuSignu měli účet. Seznam byl následně použit k rozesílání phishingu a zavirovaných příloh. Pokud vám kdykoliv dorazí nějaký wordovský soubor, který po vás bude chtít z nějakého důvodu povolit makra ve Wordu, tak to nedělejte, i kdyby vám slibovali hory+doly. Pravděpodobně je to nějaký zákeřný soubor, který vám pak zaviruje počítač.

Volně přístupná MongoDB databáze obsahovala (a nejspíš stále obsahuje) přes 560 milionů uživatelských účtů a hesel, z toho necelých 250 milionů unikátních. Jenže to je jen „kombo“ – kompilace z předchozích úniků dat, podobně jako seznamy nazvané „Anti Public“ a „Exploit.in“. Troy Hunt, provozovatel Have I Been Pwned, zjistil, že naprostá většina (98 %) účtů již v Have I Been Pwned je, takže tento nový seznam importovat nebude.

Společnost Zomato, vytváří aplikaci pro hledání restaurací, v létě 2014 koupila českou službu Lunchtime.cz i slovenskou Obedovat.sk. Ve čtvrtek Zomato oznámila, že si někdo odnesl 17 milionů uživatelských účtů včetně hesel, která byla hashována zcela nevhodnou a příliš rychlou funkcí MD5, překvapení? K heslu byla přidána kryptografická sůl (salt), ačkoliv mluvit o dvou znacích jako o „soli“ není správné. Salt musí být unikátní pro každého uživatele a heslo, aby si útočník nemohl nastavit například Password123 a pouhým pohledem do databáze nemohl zjistit, kdo má stejné heslo jako on. Dva hexadecimální znaky mohou obsahovat pouze 256 kombinací, což je pro miliony uživatelů naprosto nedostačující. V prohlášení firmy stojí, že berou bezpečnost velmi vážně a já začínám mít pocit, že když firma tohle musí prohlašovat, tak že to není tak úplně pravda. Útočník prý chybu objevil před rokem, nahlásil ji, ale firma report zcela ignorovala. Zomato se začalo o incident zajímat až ve chvíli, kdy hacker začal data prodávat. Ten nakonec nabídku smazal výměnou za příslib, že firma spustí „dospělý“ bug bounty program, ve kterém bude nahlášené chyby finančně odměňovat.

Soukromí

Twitter mění zásady ochrany osobních údajů, nové budou platit od 18. června. Zároveň spustil nové nastavení personalizace a rozšířil nastavení vašich údajů. Podívejte se, co všechno o vás Twitter ví a co všechno můžete vypnout. Pro některé bude překvapením, že Twitter na Androidu zjišťuje vaše nainstalované aplikace a používá to pro personalizaci obsahu, který vám nabízí, ale nebojte, i to lze vypnout. Když už v tom budete, podívejte se do nastavení, jestli nemáte nevědomky zapnuté třeba sdílení polohy. Patřičnou péči věnujte i seznamu aplikací, které mají přístup k vašemu účtu a ty neznámé nebo nepoužívané odstraňte. Nebo smažte rovnou všechno, když aplikace bude potřebovat přístup, tak vás o něj požádá. Často se totiž stává, že aplikaci někdo hekne nebo její autor dostane nabídku, kterou nemůže odmítnout, a pak za vás tweetuje třeba spam.

Akce

V estonském Tallinnu proběhlo před pár týdny mezinárodní cvičení věnující se kybernetické bezpečnosti nazvané Locked Shields. Od roku 2010 ho organizuje NATO a letos ho český tým vyhrál, gratuluju! Jak takové cvičení probíhá popisují Radka Nepejchalová a Martin Kunc: Radka měla na starosti e-shop, na kterém protivník úspěšně zneužil chybu SQL Injection, Martin pečoval o (nebo patchoval?) DNS a VPN servery.

V úterý 30. května pořádá česká větev sdružení OWASP v Praze další setkání nejen o webové bezpečnosti. Vstup (a pizza) zdarma, registrace nutná. Mluvit se bude o JavaScriptu, mobilních aplikacích, WordPressu a Internet Exploreru, pozvání přijal například Michele Orru', hlavní vývojář frameworku BeEF, který tak rád používám ve svých přednáškách. Těším se!

Jak propojit počítač s mobilní telefonem, na kterém je Android

květen
20
Josef Jebavý
Propojení jednoho zařízení s druhým zařízením, je problém trvající od počátku výroby různých zařízení. Na propojení zařízení jsou různé očekávání, postupně jsou však nároky uživatelů větší a větší. Už nestačí jen občasná synchronizace kontaktů. Telefon je plnohodnotné zařízení, a tak je požadováno i bezproblémové začlenění do ekosystému ostatních zařízení. Propojením mobilní telefonu s počítačem si tak lze zpříjemnit práci ........

Školství, kam míříš?(Po malých krůčcích nikam, chtělo by se říci.)

květen
20
Lukáš Kotek
Bez mála jsou to čtyři roky, co padlo moje rozhodnutí nastoupit na střední školu jako učitel (tedy ne, že by k tomu předchozí roky strávené na pedagogické fakultě nesměřovaly), a aktuálně jsou to takřka čtyři měsíce, co jsem ho (s malou výjimkou působení na UK) opustil. Tento blog ve své aktuální podobě moje působení ve […]

AMD Ryzen R7 1700

Stejně jako loni nebylo nad čím přemýšlet při upgrade desktopové grafiky, letos není nad čím přemýšlet při upgrade procesoru. Výměna procesoru je ovšem drobátko náročnější. V dnešní fotoreportáži si představíme Ryzen R7, desku Asus a nějaké paměti.

Důvody pro upgrade

Původní desktop mi více než bohatě postačoval. Fakticky neexistovala aplikace nebo hra, která by přesahovala možnosti FX8350 / 32GB RAM. Samozřejmě, neustále se najdou programy, jejichž činnost zkrátka trvá. Encódování videa v HandBrake, render v PovRAY, export fotek v LightRoomu. Na tyto věci budeme čekat stále. Někdy je fajn čekat o něco méně – třeba úprava rawu by měla být ideálně realtime.

Dalším důvodem pro update byla nutnost update stroje s FreeBSD. Za ten rok už jsem na něj hodil větší než malé množství služeb a ta i3 540 + 12GB RAM (které jsem se chtěl už před lety kompletně zbavit, darovat za odvoz), prostě nestačí.

Takže jsem přemýšlel, zda upgradovat bsd nebo rovnou všechno. A právě do toho přemýšlení přišel Ryzen. Nebylo co řešit, já jsem dostal ryzen, BSD dostalo FXko. Oba jsme spokojení.

Nový procesor

Procesor je tedy jasný: AMD R7 1700. Proč zrovna tento? V nabídce 16 threads jsou 1800X, 1700X a 1700. X značí podporu přetaktování, resp. procesor by mělo jít přetaktovat o něco lépe, než bez Xka (díky Ondro za upřesnění). Já neprovozuju tento sport, vše je v defaultu. Nedává tedy smysl si připlácet více méně za placebo. O R5 tedy 12thread nebo 8threads jsem ani neuvažoval. Následující graf shrnuje cenu za výkon u jednotlivých procesorů na trhu (v době koupě):

Oranžově osmijádra, tmavěmodře šestijádra, světle modře čtyřjádra. Nejlepší cenu za výkon má R5 1600. To je podle mě velmi rozumná volba pro lidi, pro které není až tak důležitý maximální výkon, ale stále chtějí slušný výkon za rozumnou cenu. Čtyřjádra se podle mě nevyplatí vůbec. Výkon nic moc, cena taky nic moc.

Z osmijader je jednoznačnou volbou právě R7 1700. Netaktuju, takže 1700X je nesmysl a u 1800X se platí příliš velký bonus za nejvýkonnější CPU v nabídce.

Nová deska

Vybrat desku byl problém. Chtěl jsem něco alespoň s 6xSATA porty, 4 moduly RAM, slušnou síťovkou (problém), a celkově „normálním“ osazením čipů. Žádnou exotiku, síťovku s vlastní inteligencí a jižním můstkem ke kterému se musíte modlit.

Nakonec, a více méně na radu někoho na ABCLinuxu, jsem vybral Asus Prime B350 Plus. Asus je (byl) pro mě přehypovaný výrobce více méně nic moc komponent, nevěnoval jsem mu velkou váhu. Nakonec jsem spokojen.

Zvukovka v linuxu

Někdo říkal, že mu v linuxu (Debian Stretch, poslední jádro 4.9) nefunguje zvukovka. Není to pravda, vše funguje. O zvuk se stará starý (dobrý) Realtek, tentokrát v provedení ALC887. Neexistuje důvod, aby to nefungovalo, tohle se osazuje roky na všechny desky.

Realtek ALC887

V linuxu se to tváří jako Alsa device HD Audio (prostě obecná zvukovka). Funguje, zvučí to, od lepšího zvuku máme externí dacy.

Síťovka je prostě realtek, to tak je. Funguje, kdyby zlobila, tak tam dám intelku do PCI-E. Jako poslední roky.

Jo a ten LANGuard znamená jen tolik, že pod tím je klasické oddělovací trafíčko s odolností proti přepětí, které se na normální síťovky osazuje od nepaměti. Prostě marketing. Vůbec se ta deska ráda chlubí věcmi, které jsou tak nějak normální.

Nová paměť

Paměti jsem vybíral podle kompatibility listu a dostupnosti v krámě. Nakonec KingStone HyperX 2400.

Velikost 32GB. Vzhledem k cenám, které jsou poněkud přitroublé, tak jen 32GB. V roce 2013 jsem měl 32GB DDR3 za poloviční cenu. Co k tomu dodat…

Snad jen tolik, že se hovořilo o problémech Ryzenu a rychlejších pamětech. Tyto jedou od osazení prostě na 2400MHz, bez problémů. Ale ono je to stejně jedno, protože nejvyšší takt DDR4 je 2133. Všechno nad to je XMP apod. Fakt nemá smysl se honit za vyššími rychlostmi, nárůst výkonu vůbec neodpovídá ceně (něco jako o 5% vyšší výkon ve vybraných testech, o 30% vyšší cena). Není potřeba bláznit.

Chladič

Chladič jsem použil boxovaný. AMD tomu říká Wraith SPIRE. Je o dost větší, než vypadá na fotkách, čekal jsem klasický chladič jako dává intel, 1cm pasivu a větrák. Ne, tohle je fakt velké, je to poctivej kus chladiče.

Uchycení je pomocí 4 šroubů. Základní deska má backplate, dopředu vystupují 4 šrouby.

Mimochodem, když si všimnete, tak na začátku měla deska plastové úchyty. Ty se musí odstranit. Nevím proč to tak je, nevím proč se deska dodává s úchyty na úplně jiný chladič, než se dodává boxovaný, ale tj celkem jedno, demontáž je snadná, montáž chladiče taky.

Tohle uchycení je asi nejlepší ze všech „custom“ chladičů, co jsem měl. Šrouby jsou opatřeny zarážkami, takže to nejde utáhnout až moc, o přítlak se starají 4 pružiny (celkem silné).

Ryzen je sexy

Nebojte se, nezapomněl jsem osadit procesor – postavit chladič rovnou na patici to by bylo pěkné faux pas, ale tuhle fotku jsem chtěl nechat zvlášť.

Tenhle tah se marketingovým poradcům povedl. Ryzen je tak pěkný procesor, že tuhle fotku uvidíme ještě mnohokrát. Kdejaký uživatel se tím prostě chce pochlubit. Škoda, že neexistují průhledné chladiče. Nebo by se to třeba mohlo chladit z druhé strany desky :-D

Windows překvapily

To, že linux prostě nabootuje a vše pojede mě bylo prostě jasné. Na tom není co řešit, není nad čím bádat, to tak prostě je. Debian nabootoval a protože mám statickou konfiguraci sítě a změnila se MAC na síťovce, změnil jsem jen konfiguraci systemd-networkd. Hotovo. Kdybych měl DHCP, tak nemusím řešit ani to.

Ale Windows… Jako trochu jsem počítal, že to nebude až takový problém, jako kdysi s Windows 7 (které jsem v tom roce 2013 prostě musel přeinstalovat), protože W10 mají pravidelné updaty rovnající se instalaci, ale to, že při prvním bootu napíšou jen:

a bez rebootu to normálně naběhne, to jsem teda fakt nečekal. Takže opět změna nastavení sítě a bylo (widle si na novou síťovku automaticky zapnou DHCP klienta a i při tomto „Getting devices ready“ to tahalo drivery z internetu).

Takže pohoda. Ani ten upgrade HW nějak není co býval. Prostě vyměníte desku, cpu, ram, strčíte disk a ono to nabootuje. Není co řešit.

Programy

Opakuji se, ale ty, co potřebují výkon, už jsou dávno na multithread připravené. Takže takto vypadal export obrázků pro tento článek:

LightRoom 5 z roku 2014 (pochopitelně poslední patche, které obsahují ale jen opravy chyb a podporu nových foťáků). 16 threads není problém, ano, není to na 100%, protože nestíhá storage (rawy mají 30MB každý, 4GB celkem, síťka gigalan, takže jen po síti se to tahá 40s, to je ten Ryzen fakt rychlejší). Chtělo by to alespoň ten 2.5gigabit.

K programům by se dal počítat i DOOM, který ve Vulkan API dává 160fps na místech, kde bylo loni 120. Ale těžko říct, zda je to jen procesorem, protože od té doby nastalo taky mnoho update jak dooma, tak i ovladačů. Ale 16 threads používat umí.

Takže tak

Samozřejmě spokojenost, jak jinak. Výkonu to má na rozdávání, encoding v handbrake do h265 nějakých 90fps (ale je otázkou, kolik z toho ukousne RX480 přes OpenCL), ale asi moc ne, když to před tím běželo 40fps a teď 90fps.

Testy jsem nedělal, na to já moc nejsem (udělat fakt dobré testy je ořech, já na to nejsem vybaven, HW potřebuju používat), obecně je to určitě více než 2x výkonnější, spotřeba 65W oproti 120W taky potěší (takže 4x větší energetická efektivita) a některé programy těch 16 procesů naspawnují velmi rádi.

Pokud třeba váháte s upgradem počítadla, tak asi není moc co řešit. AMD nasadilo ceny jak je zvykem, tedy stejný výkon, ale poloviční cena proti Intelu. To platí, tenhle krasavec za desítku je na úrovní borců od Intelu za více než dvacet litrů. Za cenu jednoho procesoru mám hotový celý upgrade.

První číslo newsletteru (2017, 19. týden)

květen
16
Michal Spacek

První číslo newsletteru převážně o bezpečnosti, bezpečném vývoji převážně webových aplikací a bezpečnosti uživatelů.

Aktualizace článku

  • 16.5. Přidána informace o rel="noreferrer" k rel="noopener"

Wow, takové ohlasy na nulté číslo newsletteru jsem nečekal. Všem moc děkuju za přečtení a připomínky, toto první číslo je díky nim lehce bohatší na informace i kontext. Dejte mi prosím vědět, jestli je to takhle lepší.

Pokud chcete newsletter dostávat pravidelně, tak jsem přidal export všech článků nebo jenom newsletterů ve formátu Atom. Zasílání e-mailem přijde ještě o něco později.

Pohodlně se usaďte, první číslo newsletteru se stále pracovním názvem čtu Twitter, aby vy už jste nemuseli je tu.

TLS, SSL, HTTPS

Opera Software se vyjádřila k situaci s certifikační autoritou Symantec, která v minulých letech vydala minimálně 30 tisíc falešných certifikátů. Opera by nejraději viděla celou novou infrastrukturu pro vydávání certifikátů, ale nejspíš prostě udělá to, co udělá Google. Ať už to bude cokoliv.

Microsoft Edge a Internet Explorer 11 blokují od 9. května weby, které mají SHA-1 certifikáty (platí to i pro intermediate certifikační autority) a prohlížeče místo toho zobrazují chybovou hlášku informující o špatném certifikátu. Tato změna se dotkne jen certifikátů, jejichž kořenový certifikát je v Microsoft Trusted Root Programu, ačkoliv přejít na bezpečnější SHA-2 by měli všichni.

Tým složený z lidí z několika univerzit, z Mozilly, Google a Cloudflare se podíval na zoubek „inspekci HTTPS provozu“ (HTTPS Interception), tedy sledování zašifrovaného provozu pro účely skenování antivirem nebo blokování nevhodného obsahu. Jejich výzkum ukazuje, že webový server může „inspekci provozu“ detekovat podle charakteristiky HTTPS spojení, která je pro každý prohlížeč a skenovací software jiná. Analýzu prováděli na několika populárních e-commerce webech, na serverech, ze kterých si stahuje aktualizace Firefox a na síti Cloudflare. Ve všech případech zjistili, že „inspekce HTTP provozu“ je 4–11 %, tedy o řád vyšší, než se doposud předpokládalo. Zkoumáním populárních antivirů a firemních proxy serverů zjistili, že skoro všechny programy snižují zabezpečení spojení, některé dokonce ani správně neověřovaly certifikáty. Zjišťováním použitých TLS/SSL klientů podle charakteristik spojení se v roce 2015 zabýval i tým z Masarykovy univerzity v Brně.

76 oblíbených (a spousta těch méně oblíbených) aplikací pro iOS neověřuje správně certifikáty, čímž umožní zákeřným Wi-Fi sítím a jejich provozovatelům dostat se například k přihlašovacím údajům podvržením falešného certifikátu. Seznam 27 z nich byl zveřejněn, některé ale stále na opravu čekají. Tento problém musí vyřešit vývojáři aplikací, App Transport Security (ATS) to za ně neudělá. ATS zajistí „jen“ to, že aplikace bude komunikovat po HTTPS s použitím dostatečně silných šifer.

Prohlížeče

Mozilla znovu spustila web bug bounty program. Za nalezení chyb na vybraných webech a jejich nahlášení můžete získat odměnu až $5000 za spuštění kódu (RCE) na kritických serverech.

Prohlížeč Edge obsahuje zatím neopravené chyby, které umožňují obcházet Same-Origin Policy a získávat tak cookies a v případě používání vestavěného správce hesel i přihlašovací údaje. Same-Origin Policy (SOP) má zajistit, že JavaScript z jednoho originu nebude mít přístup ke stránce a datům na jiném originu, přičemž origin je definován jako kombinace protokolu, jména serveru (domény) a portu.

Chrome 59 (vyjde v červnu) se políčka TeletexString v certifikátech nakonec budou zobrazovat se znakovou sadou Latin-1, takže certifikáty s takovými políčky na macOS budou nadále fungovat. TeletexString je jeden ze způsobů, jak v certifikátu uvést např. název firmy pokud obsahuje diakritiku. Minule jsem psal, že takové certifikáty měly v Chrome 59 na macOS zobrazovat chyby ERR_SSL_SERVER_CERT_BAD_FORMAT nebo ERR_BAD_SSL_CLIENT_AUTH_CERT.

bezpečnosti Service Workers v Chromiu se dozvíte v Service Worker Security FAQ. Service Workers jsou skripty, které běží na pozadí, bez zobrazené stránky, a používají se na synchronizaci nebo notifikace, tedy na věci, na které by jinak byla potřeba nativní aplikace. Jsou zamýšleny jako vylepšená náhrada Application Cache.

Od Chrome 56 běží webové iframy (např. reklamy) v extenzích (třeba na stránce s nastavením rozšíření) v odděleném procesu. Nemají tak přístup k API pro rozšíření i kdyby se jim podařilo zneužít nějakou chybu. Zvýšilo se tím zabezpečení prohlížeče, taková API totiž mohou přistupovat k věcem, ke kterým se běžná stránka nedostane, např. k historii.

Bezpečnostní HTTP hlavička X-Frame-Options se používá k omezení vložení stránky do frames, čímž se znemožní útok Clickjacking. Varianta X-Frame-Options: SAMEORIGIN povolí vložit stránku do frame pokud je na stejném originu (protokol, doména, port), ale kontroluje jen nejvyšší frame, tedy stránku zobrazenou v adresním řádku. Takže stránku s X-Frame-Options: SAMEORIGIN je možné vložit do frame na jiném originu, pokud ten frame je vložen do stejného originu jako stránka posílající X-Frame-Options: SAMEORIGIN, čímž se zamýšlená ochrana lehce vytrácí. Schematicky to vypadá takto: example.comútočník.czexample.com + X-Frame-Options: SAMEORIGIN. Chrome už jednou kontrolu originu změnil na všechny frames, ale museli tu změnu vrátit zpět. Teď to chtějí změnit znovu.

Do WebKitu byla přidána podpora Subresource Integrity (SRI). WebKit je jádro prohlížeče Safari a všech prohlížečů na iOS a Subresource Integrity hlídá, jestli se nezměnil obsah nějakého zdroje staženého například z CDN, tedy jestli někdo cédéenku nehacknul, tak jak se to stalo v roce 2013 frameworku Bootstrap. Ten byste do stránky měli vkládat pomocí značky script takhle nějak:

<script
    src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"
    integrity="sha384-Tc5IQib027qvyjSMfHjOMaLkfuWVxZxUPnCJA7l2mCWNIpG9mGCD8wGNIcPD7Txa"
    crossorigin="anonymous"
></script>

Hodnotu atributu integrity se dozvíte od vývojáře knihovny. Prohlížeč po stažení kódu spočítá jeho hash a pokud nesedí s hashem v atributu integrity, tak se stažený soubor ignoruje. Víc o SRI v mé přednášce nejen o bezpečnostních HTTP hlavičkách.

Hesla

„Teploměry“ ukazující sílu hesla („password strength meters“) při jeho zadávání jsou často k ničemu. Stačí jim, že heslo má 8 znaků, minimálně jedno velké, jedno malé, jedno číslo a hned si myslí, že heslo je supersilné i přesto, že je vcelku předvídatelné. Tenhle teploměr ne, navíc vám pomocí rad typu „nedávejte číslice jen na konec“ navrhne jak heslo vylepšit, však to zkuste. Za zmínku také stojí zxcvbn od Dropboxu.

Analýza 562 milionů hesel ze seznamu nazývaného „Anti Public“ přinesla tyto výsledky: nejvíc účtů na doméně yahoo.com (41,71 %), nejčastější délka hesla 9 znaků (27 %), 10 nejčastějších hesel: 123456, 123456789, abc123, password, password1, 12345678, 111111, 1234567, 12345, 1234567890. Vcelku nic překvapivého, že.

Chyby a zranitelnosti

iCloud Keychain Sync, nástroj od Apple pro bezpečné sdílení hesel mezi zařízeními, obsahoval chybu, která útočníkovi umožňovala získat uživatelská data i přesto, že data jsou šifrovaná end-to-end a šifrovací klíče jsou specifické pro každé zařízení. Zneužití nebylo jednoduché, potřeboval by k tomu např. přístup k serverům Apple nebo uživatelské heslo k iCloud účtu bez 2FA. Chyba byla opravena v iOS 10.3.

Natalie Silvanovich a Tavis Ormandy z Google Project Zero našli chybu v jádru Windows Defenderu, což je antivir dodávaný s Windows. Ta umožňovala vzdáleně spustit kód např. navštívením zákeřné stránky. Tím se do cache prohlížeče (obecně na disk) uložil soubor s JavaScriptem, který chtěl antivir prozkoumat, čímž kód dodaný útočníkem spustil. Microsoft chybu bleskově opravil, uživatelé nemusí dělat nic, Defender se aktualizuje sám.

HP zapomnělo ve svých audio ovladačích (které vytvořila společnost Conexant) kousek kódu, který zaznamenává stisky všech kláves a zapisuje je do souboru přístupného všem uživatelům na počítači. Takže když uživatel vyplňoval na nějakém webu své heslo, tak ho měl hezky zálohované. Záloha to nebyla moc dobrá, při dalším přihlášení do Windows se vymazala. V novější verzi ovladače „keylogger“ zůstal, ale je potřeba ho nejdříve zapnout v registrech, eh.

Software pro provozování diskuzních fór Vanilla Forums až do verze 2.3.0 včetně používá starou verzi knihovny PHPMailer, čehož lze v kombinaci s možností upravit hlavičku Host využít ke vzdálenému spuštění kódu. Oba problémy byly nahlášeny v prosinci 2016, ale výrobce na opravu zapomněl a náhodou si vzpomněl až po jejich zveřejnění. Pokud Vanilla Forums používáte, tak nezapomeňte aktualizovat na nově vydanou verzi 2.3.1.

Invision Power Board, další nástroj pro provozování fór, obsahuje ve verzi 4.1.19.2 několik chyb Cross-Site Scripting (XSS). Útočník může na fórum například nahrát vlastní SVG soubor, ve kterém může být JavaScript (<svg xmlns="http://www.w3.org/2000/svg" onload="alert('XSS❤SVG');"/>), který potom prohlížeč spustí. V extrémním případě by těchto chyb šlo využít až k nahrání útočníkovo PHP souboru na server a tím spuštění jím dodaného kódu. Výrobce prý na opravu také několik měsíců zapomněl, opravu nějakých XSS zmiňuje u verze 4.1.19.4, ale detaily neuvádí.

Travis CI, nástroj pro Continuous Integration, omylem zobrazoval ve výstupech OAuth tokeny, které se používají pro přístup ke GitHubu, například pro nahrávání souborů na GitHub během buildu. Výstupy (česky logy) pro Travis CI obsluhující open-source projekty jsou veřejně dostupné pokud je uživatel nesmaže. GitHub dotyčné tokeny (bylo jich 2833) zneplatnil a majitelům dá vědět. Problém se netýkal jenom GitHubu, Travis CI problém oznámil i dalším službám.

Nová verze publikačního nástroje Joomla vyjde ve středu 17. května přibližně v 16h našeho času. Verze 3.7.1 bude obsahovat opravu blíže nespecifikované kritické bezpečnostní chyby. Pokud Joomlu používáte, na středeční odpoledne si asi raději nic jiného neplánujte. Do několika hodin po zveřejnění zranitelnosti se běžně vytvoří automatizované nástroje, které velmi rychle hledají nezáplatované servery a chyby zneužívají.

Úniky dat

Z platformy pro podporu výuky na základních a středních školách Edmodo někdo získal 77 milionů uživatelských účtů a hashovaných hesel. Databáze se prodává na „černém trhu“ za 1088 amerických dolarů. Hesla byla hashována pomocí doporučovaného algoritmu bcrypt, takže rychle půjde cracknout jen jednoduchá hesla typu password apod. Edmodo jsem přidal na svůj seznam firem, které (třeba i nedobrovolně) zveřejnily způsob ukládání hesel.

Útoky

Malware Proton krade z macOS mj. i data ze správce hesel 1Password. Pokud jste si stáhli populární program pro práci s video soubory HandBrake mezi 2. a 6. květnem, tak se porovnáním SHA-1 hashe přesvědčte, že jste nestáhli modifikovaný program. Někdo totiž napadl server download.handbra­ke.fr a instalační program HandBrake vyměnil za něco nepěkného.

Unést se dá dneska snad všechno, třeba i takový DNS server. Ten pak může domény převádět na nesprávné IP adresy, čehož se dá využít k phishingu, distribuci malware nebo cenzuře. Jak moc se po světě unáší DNS server Google se pomocí DNS Fingerprintingu rozhodli zjistit na DNS Hackathonu v Amsterdamu. V ČR bylo uneseno 7 z 241 dotazů, čímž jsme si vysloužili krásné 19. místo.

Chvilku poté co zmrzlo peklo vydal Microsoft záplaty pro Windows XP (a další již nepodporované operační systémy) řešící možnost vzdáleného spuštění kódu pomocí protokolu SMB. Ten se ve Windows používá pro sdílení souborů mezi počítači, přičemž pro podporované systémy záplata existuje již od půlky března. Této chyby využívá malware resp. ransomware označovaný jako WannaCrypt (někdy také příznačně jako WannaCry), který zašifruje data na disku a požaduje výkupné pro dešifrování. Na seznamu obětí figurují nemocnice, banky, továrny, parkovací automaty a další. Šíření této varianty viru zpomalil chlapík s přezdívkou MalwareTech, ten si všiml, že po infekci se malware snaží poslat požadavek na doménu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, která ale nebyla registrovaná. Tak ji koupil a až později zjistil, že fungovala jako hlavní vypínač – když malware dostal odpověď na přímo poslaný požadavek (tzn. ne přes proxy), tak se dál nešířil. Již se objevují nové varianty s jinými doménami. Ať už podnikáte v čemkoliv, nezapomeňte si domény registrovat včas.

Matka moudrosti

Pokud z vaší stránky otvíráte odkazy do nového okna pomocí target="_blank", tak k nim přidejte rel="noopener". To zajistí, že stránky v Chrome budou mít oddělené procesy a nová stránka nebude mít přístup k vlastnosti window.opener.location, pomocí které může tu vaši přesměrovat jinam, třeba na nějaký phishing, aniž by si toho návštěvníci všimli. Aktualizace 16.5.: stejnou funkčnost dosáhnete použitím rel="noreferrer", z historických důvodů se chová stejně, navíc neposílá ani Referrer.

Akce

V centru současného umění DOX v Praze se v týdnu od 15. května koná Týden datové bezpečnosti. Jde o přednášky, komentované prohlídky a workshopy k výstavě Big Bang Data, jsou většinou večer a v rámci středeční panelové diskuze „Ukaž svá data!“ od 19h budu vaše data ukazovat i já.

Pozvánka na 140. sraz OpenAlt – Praha

květen
15
Openalt.org

Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka?

Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).

Jak nainstalovat Windows 10 z USB. Legálně a zdarma!

V dnešní době již není potřeba vypalovat Windows, nebo i jiný operační systém na DVD. Mnoho dnešních PC již tyto

Příspěvek Jak nainstalovat Windows 10 z USB. Legálně a zdarma! pochází z Spajk.cz

Nulté číslo newsletteru (2017, 18. týden)

květen
10
Michal Spacek

Začal jsem sbírat odkazy a témata na newsletter. Tady je jeho nulté číslo.

Aktualizace článku

  • 11.5. Nová adresa návrhu Mozilly na řešení situace s CA Symantec
  • 10.5. Lupa.cz již vypla podporu šifry RC4
  • 9.5. V Chrome 59 se pole TeletexString v certifikátech bude brát jako Latin-1

Před týdnem mě napadlo začít psát newsletter. Začal jsem si poznamenávat odkazy a čekal co z toho vyleze s tím, že zbytek vymyslím potom, však to znáte. Zatím tedy nevím, jestli to vydávat měsíčně nebo každý týden, ale podle odpovědí na dotaz na Twitteru to vypadá spíš na každý týden. Do týdenních zpráv se dají zařadit i celkem aktuální věci, třeba pozvánky na nějaké konference, na druhou stranu, pokud byste se o nějakém problému dozvěděli za měsíc, tak už může být třeba pozdě. Z týdenních se ale dá vždy zkompletovat archív po měsících, takže možná přijde i kouzelník. A když už tu bude, tak by mi mohl pomoci s RSS i posíláním e-mailem, chci rozhodně nabídnout obojí.

Takže tady je nulté číslo newsletteru o tom, co mě zajímá. Převážně o bezpečnosti, bezpečném vývoji nejen webových aplikací a bezpečnosti uživatelů. Pracovně tomu říkám čtu Twitter, aby vy už jste nemuseli.

Dejte mi prosím vědět, jestli byste to četli a jestli je týdenní frekvence snesitelná. Jo, tenhle týden se toho urodilo dost, uvidíme kolik toho bude v dalším nultém číslu.

Tak jdem na to, zprávy z týdne začínajícího Svátkem práce právě začínají…

TLS, SSL, HTTPS

Mozilla zveřejnila svůj návrh na řešení situace s certifikační autoritou Symantec. Ta ztrácí důvěru výrobců prohlížečů, během minulých let se jí totiž podařilo vydat minimálně 30 tisíc falešných certifikátů. Dokument má 10 stran, ve zkratce: Mozilla navrhuje, aby CA provozoval někdo jiný, pokud Symantec nebude souhlasit, tak chce snížit maximální platnost nových i existujících certifikátů na 13 měsíců. Ale nevidí důvod k zobrazování EV certifikátů jakožto „normálních“ certifikátů. Jen pro úplnost, návrh Googlu z března je o něco tvrdší.

LinkedIn shrnul zrychlování načítání webu pomocí kompresního algoritmu Brotli, ten je dostupný pouze pro HTTPS.

Zero Round Trip Time Resumption (0-RTT)TLS 1.3 zrychluje načítání stránek skoro na úroveň nešifrovaného webu, ale umožňuje provádět „Replay Attack“. Existuje workaround, viz Security review of TLS 1.3 0-RTT, kde se také píše, že TLS1.3 0-RTT is insecure by default. Cloudflare experimentálně povolil TLS 1.3 0-RTT v březnu, ale kvůli tomuto jen pro GET požadavky bez parametrů v URL.

TLS 1.3 se objeví v OpenSSL ve verzi 1.1.1, v Using TLS1.3 With OpenSSL se dozvíte další detaily o implementaci.

Lupa.cz konečně přešla na HTTPS. Ještě by mohli vypnout podporu již ne zcela bezpečné šifry RC4. Aktualizace 10.5.: už ji vypli.

Prohlížeče

Chrome bude od verze 62 zobrazovat HTTP weby jako Not Secure, pokud si je načtete v Incognito režimu nebo pokud do stránky na HTTP začnete vyplňovat nějaké údaje. Verze 62 by měla vyjít v říjnu 2017.

Chrome Canary je od verze 60.0.3088 zpátky zkratka pro zobrazení informací o certifikátu, navíc s šikovným tooltipem, který rovnou prozradí certifikační autoritu. Snad to bude brzy i ve stable verzi, do té doby najdete informace v Developer tools v záložce „Security“.

Pokud používáte 32-bitový Chrome a máte 64-bitový operační systém a víc jak 4 GB operační paměti, tak se vám při automatické aktualizaci prohlížeče nainstaluje 64-bitová verze.

Chrome je od verze 59 možnost blokovat požadavkyDeveloper tools. To se hodí třeba pro testování webu v prohlížečích s blokováním reklam apod.

Hotmail má na doméně https://hotmail.com špatný certifikát. Chrome takovou situaci vyřeší automagickým přidáním www, ale zkuste si https://hotmail.com načíst ve Firefoxu. Více o podobné funkčnosti se dozvíte od Erica Lawrence v jeho blog postu o magii, v části „End-User Magic“.

Web Crypto API dovoluje JavaScriptu používat kryptografické operace, jeho podporu v prohlížečích zmapoval Ryan Hurst.

Aktualizace 9.5.: v Chrome 59 se TeletexString bude brát jako Latin-1 a certifikáty budou dále fungovat i na macOS. Pokud máte v serverovém nebo klientském certifikátu diakritiku (obecně jakékoliv „ne-ASCII“ znaky) v políčku TeletexString, tak vám Chrome 59 na macOS přestane fungovat a místo toho uvidíte chybu ERR_SSL_SERVER_CERT_BAD_FORMAT nebo ERR_BAD_SSL_CLIENT_AUTH_CERT. Jestli takový certifikát máte zjistíte např. pomocí tohoto ASN.1 dekodéru, hledejte řetězec TeletexString.

Hardware

Cactus WHID, Wi-Fi HID Injector, „fleška“, co vypadá jako „fleška“, ale není to „fleška“. Umí například simulovat klávesnici, má Wi-Fi a vypadá to na dobrou legraci. Mám trochu jednodušší Rubber Ducky, programovatelnou „klávesnici ve flešce“, takže až mě někde potkáte, tak vám to rád ukážu, hehe.

Chyby a zranitelnosti

Ve WordPressu 4.6 jde díky chybě v PHPMaileru vzdáleně spustit kód. Chyba už byla opravena v lednu tohoto roku, takže pokud pravidelně a automaticky aktualizujete, tak se vás netýká.

Všechny verze WordPressu (včetně aktuální 4.7.4) obsahují poměrně těžko zneužitelnou chybu, díky které by šlo získat odkaz na reset hesla. Spočívá ve změně hlavičky Host, jejíž hodnota se promítne do $_SERVER['SERVER_NAME'] a pak i do e-mailové hlavičky From. Mohlo by se stát, že po odmítnutí zprávy cílovým poštovním serverem bude e-mail s odkazem na nastavení nového hesla zaslán zpět na adresu uvedenou ve From, což je hodnota dodaná útočníkem.

Webový interface, který je součástí procesorů od Intelu, resp. Intel AMT má od roku 2011 boží chybu. Pro přihlášení používá metodu HTTP Digest a pro přihlášení uživatele admin stačí poslat prázdný digest. Připomnělo mi to PayPal, kdy k obejití 2FA stačilo z formuláře odebrat políčka pro zadání odpovědí na bezpečnostní otázky. Výrobci hardware již plánují opravy, do té doby AMT vypněte, pokud ho používáte.

Nové verze a vlastnosti

Nová verze knihovny pro hashování hesel v PHP phpass 0.5 podporuje PHP 7. Pokud ji doposud nepoužíváte, tak ani nezačínejte, nativní PHP funkce password_hash() a password_verify() jsou vhodnější. Tyto funkce jsou dostupné až od PHP 5.5, ale některé projekty musí podporovat i starší verze PHP. Pro ně je tato knihovna, používá ji například i WordPress, ačkoliv ne úplně nejlépe.

Šifrovaný komunikátor Signal umožnil posílání jakýchkoliv souborů.

V další velké verzi Androidu (Android O) poběží WebView v sandboxu.

Úniky dat

Troy Hunt nahrál do Have I been pwned? data ze seznamů nazvaných antipublic a Exploit.in. Oba seznamy už vznikly před nějakou dobou a obsahují data z různých služeb i předchozích úniků. Pokud se v nich najdete a chtěli byste znát i heslo, které je v seznamech uvedeno, tak si budete ta data muset stáhnout a podívat se. Hesla jsou v nich uvedená v čitelné podobě.

Útoky

Němečtí mizerové využívají chyby protokolu SS7 k získávání kódů ze SMS a následnému luxování bankovních účtů. SMS pro účely 2FA je nevhodná, o dalších důvodech jsem psal v článku Kam zmizel druhý faktor ze SMS zpráv. Jen tak mezi námi, SMS je nevhodná skoro na všechno, pro posílání zpráv použijte raději třeba výše zmíněný Signal.

Objevil se OAuth phishing, tedy zákeřná aplikace, která požaduje přístup k vašemu Google účtu, ale nechce přímo heslo. Tato se jmenovala „Google Docs“ a chtěla přístup k e-mailu a ke kontaktům. Aplikace, kterým jste dali přístup si zkontrolujte a pročistěte, odkaz na seznam povolených aplikací pro Google, Facebook a Twitter.

Soukromí

234 aplikací pro Android neustále poslouchá a čeká na ultrazvukový signál, aby mohlo uživatele za nějakým účelem sledovat.

Sbohem a šáteček

OpenSSH bude umět už jen SSHv2, podpora zastaralého protokolu SSHv1 byla odstraněna. Mohlo by se to dotknout některých starších síťových zařízení.

Mikroframework Silex 1.3 už není dále vyvíjen, přejděte na verzi 2.

IdeaHack aneb Pomozte nám vymyslet co všechno by se s open daty dalo v Brně dělat

Přijďte na zahřívací akci k opendatovému hackathonu BrnoHacks a zapojte se s námi do brainstormingu o tom, jak ze spojení Brna a otevřených dat využít co nejvíc!

JSEM ODPOVĚDNÝ ZA IMPLEMENTACI GDPR V MÉ ORGANIZACI – Jak mám postupovat?

JSEM ODPOVĚDNÝ ZA IMPLEMENTACI GDPR V MÉ ORGANIZACI – Jak mám postupovat?
SPIR_GDPR_V01_kveten_2017
tereza.tumova@… St, 05/10/2017 - 10:22

V souvislosti s postupující výstavbou sítí nové generace dochází i k radikálnímu zvyšování objemu dat přenesených novými sítěmi. S pohybem a zpracováním údajů, zejména osobních, souvisí i vysoce aktuální problematika ochrany těchto údajů.

GDPR. CO TO JE?

GDPR neboli Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracov ním osobních údajů a volném pohybu těchto údajů je přelomová nová legislativa, přinášející zásadní posílení ochrany osobních údajů a řadu nových povinností nebo změny stávajících povinností pro všechny správce a zpracovatele.

GDPR bylo přijato 27. 4. 2016 a začne platit od 25. 5. 2018. 

SPIR_GDPR_V01_kveten_2017

 

140. sraz fandů otevřených řešení ve FabLab Brno

květen
10
Openalt.org

140. sraz OpenAlt bude v pátek 19. května od 17h a spojíme ho s návštěvou Fablabu, což je první otevřená digitální dílna v Brně. Od 18h máme potom rezervačku v restauraci Na Purkyňce, kde můžeme svlažit hrdlo u oblíbeného nápoje.

Nový web a co s tím starým

Několik lidí se mě ptalo, proč už tolik nepíšu. V dnešním update bych chtěl vše vysvětlit a také představit nový web. A nastínit budoucnost toho stávajícího.

FreeBSD

Jo, za poslední rok tady příliš mnoho článků není. Má to několik příčin. Jednak nějak nemám témata. Čekal jsem, že budu psát o FreeBSD, jak to jde těžko apod. Jenže instalace FreeBSD byla na jeden den a od té doby to (za pár dnů tomu bude rok) šlape naprosto bez jediného problému. Takže z toho příliš mnoho zážitků není.

HW

Od RX480 se vlastně nic nedělo. Ok, koupil jsem si FreeSync monitor, o tom bych asi taky něco napsat měl, dobře, třeba někdy. (Ale nečekejte, tuhle technologii fakt chcete a možná o tom ani nevíte.)

Teď jsem ve fázi kupování Ryzenu, hledám desku a tak podobně. CPU je jasný, pokud se něco výrazně nezmění, tak R7 1700 je jasná volba.

Práce

Další příčinou je totální zavalení prací. Zní to už skoro jako klišé, já vím. Ale jen za tento rok jsme v práci udělali 4 projekty, kde každý z nich by si zasloužil tak rok až dva samostatné práce. Ale nejsou lidi. Na druhou stranu se celkem dařilo.

Kromě takových běžných věcí, jako třeba že po 5 letech končí projekt eTržiště (no i když…) a rušilo se jedno datacentrum, tak nasazujeme storage řešení CEPH. O tom taky něco někdy ublognu. Ale hned to nebude. Tak za rok.

SVJ

Další věcí je hromada práce v SVJ. Je to vlastně poprvé, co se na svých stránkách zmiňuji o práci v SVJ. Aktuálně jsem místopředseda výboru jednoho SVJ (72 b.j.) a předseda druhého výboru (32 b.j.) ovšem ten je součástí sdružení vlastníků bytů (96 b.j.) v jehož představenstvu též zasedám.

Takže práce jak na kostele. Počtem obyvatel je to vlastně taková malá vesnice. Kdyby vás zajímalo, co se v takovém SVJ běžně dělá, můžete se mrknout na web, který pro sdružení spravuji (a píšu zápisy).

Loni i letos jsme řešili nové stanovy dle nového občanského zákona a taky projekt rekonstrukce stoupacího vedení. Hromada času, schůzek, čtení zákonů a projektů. Za 10tis korun ročně – zaručeně nejhůře placené povolání, které jsem kdy dělal. Ale nestěžuju si. Prvních 5 let je za mnou,  před měsícem jsem byl zvolen jako předseda na dalších 5 let. Potom se uvidí.

Web

Mám další web. Adresa: doc.heronovo.cz. Jen pár slov k tomu, proč nový a proč ty články nejsou zde.

Psát technické články ve WordPressu je prostě utrpění. Je překvapující, jak blbě jsou redakční systémy připravené na to, že se tam budou publikovat články plné ukázek kódu, inline code apod. Jako jde to, ale…

Nový web je postaven na Jekyllu. Jedná se o statický generátor html stránek.  Jekyll je napsán v Ruby, ale nebojte se, o ruby nezavadíte (pokud vyloženě nechcete). Stačí vám lehká znalost YAML (pro konfigurace) a potom znalost Markdown. Prostě píšete články v markdownu – což je značkovací jazyk stvořený pro psaní technických textů, zdroják vypadá podobně jako byste si psali běžný textový dokument, formátovací značky jsou jednoduché a do značné míry intuitivní.

Tohle mi umožňuje rychle publikovat technické články. Zdrojáky mám v gitu, články píšu ve vimu. Po vygenerování stačí jen rsync na server. Vše na textové konzoli, kde stejně běžně pracuju.

Aktuálně web startuju se 24 články (tohle je vlastně vysvětlení toho, proč tady nevycházely články – prostě jsem je psal jinde). Jsou tam informace hlavně o FreeBSD, systemd. Jo a udělal jsem si radost také baculou.

Bacula

Bacula byl poslední velký software z unixového světa, který mi doposud seděl v TODO na vyzkoušení. Původně jsem její pokoření (bacula má pověst velmi složitého systému na nasazení a administraci a mnoho lidí se jí vyhýbá) dělal skutečně jen pro zábavu, nemyslel jsem si, že ji budu používat. No a potom jsem to vzal vážněji a dneska ji mám nasazenou jako další zálohovací software. Funguje, dýchne na vás duch UNIXu a rozdělených nezávislých komponent. Jsem spokojen.

Starý web

Starý web (tedy tento, který právě čtete) rušit nehodlám. Zatím nevím, jak to bude fungovat, ale mám představu, že na doc bych dával technické články skutečně typu dokumentace a sem takovej ten běžnej pokec.

Další věcí je, že na jekyllu nemám diskuse. Jsou to statické stránky, tam se diskuse realizují docela těžko, některé weby používají disqus, ale mě se úplně nechce mít data někde mimo moji kontrolu. Takže pokud tam někdy nějaké diskuse budou, tak to bude lokální služba (což zase popírá výhody statického webu). Asi to zůstane bez diskuse.

Takže tak, tolik jen rychlý update co se děje a proč se to děje. Tak zdarec a příště doufám už u nějakého technického tématu. Třeba s novým HW.

Čtvrtletní prezentace projektů SPIR

Čtvrtletní prezentace projektů SPIR petr.kolar@spir.cz St, 05/03/2017 - 11:41

Ve středu 3. května 2017 od 10 hod. se uskutečnila samostatná prezentace projektů SPIR v art & event gallery ČERNÁ LABUŤ, Na Poříčí 25, Praha 1. Prezentace jsou ke stažení v příloze.

Podporujeme Alpine Linux, má u nás hlavní mirror

květen
03
vpsFree.cz

Podpořili jsme projekt Alpine Linux a hostujeme u nás ve vpsFree.cz hlavní zrcadlo (mirror).

Jde (zatím jen) o hosting oficiálního zrcadla cz.alpinelinux.org. Momentálně se používá jako hlavní, ze kterého se synchronizují další zrcadla. Zatím ovšem není jisté, jestli takto zůstane.

V Alpine Linuxu (dále jen „Alpine“) právě probíhají změny v infrastruktuře zrcadel. Rozdělí se do tří kategorií:

  • „hlavní zrcadlo“ (do budoucna snad zdvojené), do kterého budou „buildery“ nahrávat balíčky a synchronizovat se z něj zrcadla v Tier 1.
  • Tier 1 se plánují tři – pro Evropu, Ameriku a Asii (ponz.: můj návrh, že musíme mít zrcadlo i na Antarktidě se nějak neujal…). Z nich se budou synchronizovat zrcadla v Tier 2 a zároveň je budou používat koncoví uživatelé přes HTTP(S).
  • Tier 2 pak budou zrcadla třetích stran, uživatelů, plus záložní zrcadlo.

Zrcadlo na vpsFree se později možná změní na zrcadlo pro Evropu v Tier 1, to ještě nebylo rozhodnuto.

Nápad na spolupráci s vpsFree vznikl asi před půl rokem, kdy nastal nějaký problém s „hlavním zrcadlem“. Tehdy se začalo diskutovat o přemístění k jinému poskytovateli. Jednou z podmínek výběru bylo, aby daný poskytovatel nabízel Alpine jako podporovanou distribuci a ideálně ho sám nějakým způsobem využíval. Ve vpsAdminu nabízíme Alpine k instalaci od května 2016 a už nějakou dobu plánujeme postavení některých částí vpsAdminu na Alpine. Rozhodli jsme se tedy projektu pomoci a nabídnout mu zdarma prostor pro zrcadlo. Akutní problém se současným zrcadlem se ale mezitím vyřešil a přemístění „hlavního zrcadla“ ustoupilo jiným prioritám. Až doteď.

Před několika dny došlo k několikahodinovému výpadku „hlavního zrcadla“, server byl nedostupný, z administrace s ním nešlo nic dělat a nezbývalo než čekat na zásah podpory. Opět se tedy otevřela diskuze o změně poskytovatele a také změně infrastruktury zrcadel do výše popsané podoby. Znovu jsem navrhl podporu ve vpsFree. Do pár hodin jsem měl připravený OVZ kontejner, za dalších několik hodin vše nainstalované, nastavené a synchronizované celé aports. Druhý den jsme nastavili doménový záznam cz.alpinelinux.org a hned další den ho povýšili na „hlavní zrcadlo“.

Ozvalo se i několik firem, že by chtěly pro Alpine poskytnout infrastrukturu. Jedna je myslím z USA, další z Japonska. Jedni z nich mají Alpine asi opravdu rádi, protože projektu dali k dispozici opravdu hodně výkonný stroj s několika SSD disky.

Za čtyři dny to bude rok ode dne, kdy jsme do vpsAdminu přidali podporu Alpine Linuxu, a jeho obliba u našich členů stále roste. Petr Krčmář měl na posledním InstallFestu o Alpine samostatnou přednášku. Pokud vás distribuce zajímá, podívejte se na ni:

Pokud byste o ni rádi řekli známému, který neumí česky, můžete ho odkázat na mé slajdy z mé „lightning talk“ [PDF] na posledních LinuxDays.

Poznámka: Článek byl několik hodin po vydání aktualizován – představený návrh infrastruktury je teprve ve fázi konceptu a mezitím došlo ke změně značení kategorií zrcadel.

Dal jsem se na kolečkové lyže

Tuto zimu jsem si velmi oblíbil běžky. Najel jsem skoro 300 km a strávil na nich hodně víkendů. Zimy jsou ale u nás docela krátké (i když se nás pokouší počasí v posledních týdnech přesvědčit o opaku), takže sněhu si člověk může užívat jenom menší část roku. Proto jsem se rozhodl, že prozkoumám, jak by se dalo na lyžích běhat i bez sněhu.

pictogram-cross-country-skiing-1493313_640

O kolečkových běžkách jsem trochu povědomí měl. Věděl jsem, že na nich trénují běžkaři a triatlonisté během letní přípravy. Neměl jsem ale moc tušení, jak se ovládají, jak je ježdění na nich podobné klasickým běžkám. Nejvíc mi vrtalo hlavou, jak se na nich brzdí, protože techniky z klasických lyží jako třeba plužení asi na kolečkách moc aplikovatelné nejsou.

Skvělá příležitost odpovědět si na tyto otázky se naskytla 8. dubna, kdy Sun Sport pořádal v Brně testovací den kolečkových lyží. Na místě bylo k dispozici přes 20 modelů lyží, které si člověk mohl dle chuti na přilehlé cyklostezce zkoušet.

Stejně jako běžky na sníh i ty kolečkové se dělí na klasiku a skate a dostupné jsou dokonce kombinované. Jako první jsme vyzkoušeli lyže na klasiku. Kolečka jsou na průměr menší a mají spíše podobu válečků, které jsou vhodnější pro přímý pohyb dopředu. Aby se na nich mohl člověk odrážet, umožňují pohyb jen dopředu, což simuluje funkci stoupacích vosků. Díky širším kolečkům mají lepší stabilitu a jsou asi vhodnější pro méně zdatné lyžaře.

Nás ale moc nenadchly. Připomínají klasický běh na lyžích bez stopy. Nemůžete se pořádně rozběhnout, protože vám při běhu lyže neustále ujíždí do různých směrů. Ta stopa, která by držela směr pohybu lyže, tam prostě chybí. Asi se to dá pilovat, ale nám to přišlo celkově takové nepřirozené. Údajně i závody, které se u nás jedou, jsou víceméně jen o jízdě soupaž, která na kolečkových lyžích jde dobře, ale je to zrovna styl, který mě vůbec neoslovuje.

17861801_10154462782743027_3801719044607633029_nKlasika, která nenadchla

Poté jsme vyzkoušeli lyže na skate. Ty jsou kratší (oba druhy jsou výrazně kratší než běžky na sníh) a mají kolečka podobná těm z inline bruslí. Pohyb nám přišel mnohem přirozenější a opravdu podobný bruslení na sněhu. Pohyb je relativně podobný bruslím s tím rozdílem, že má člověk k dispozici hůlky (ty se používají i u bruslí, ale není to časté) a není fixovaná pata. Kvůli tomu jsou kolečkové lyže asi o cosi náročnější na stabilitu než kolečkové brusle.

17796802_10154462782623027_5272211765994270563_nSkate bavil mnohem více

Měli jsme možnost vyzkoušet také brusle do terénu. Ty mají nafukovací kolečka různých rozměrů (čím větší, tím do více nepohodlného terénu). Jejich nevýhodou je, že jsou výrazně „línější“, nejedou tak dobře. Můžete s nimi ale naopak jezdit i po nekvalitním asfaltu nebo dokonce nezpevněné cestě.

A jak je to s tím bržděním? Na kolečkových lyžích se opravdu nedá nijak přirozeně brzdit. Slyšel jsem názory, že by se to dalo jako na bruslích tak, že by člověk otočil jednu lyži o 90 stupňů. Jenže to nejde ze dvou důvodů: 1. lyže je výrazně delší než brusle, 2. nemáte pevnou patu, takže úhel lyže byste při jízdě neudrželi.

Proto jsou potřeba nějaké brzdy. Já jsem viděl celkově tři druhy:

  • Brzda byla připevněná na vázaní. Při záklonu nohy člověk mohl tlačit na zadní kolečko a brzdit. Toto řešení se používá u lyží do terénu s velkými kolečky.
  • Brzda byla přimontovaná na lyži u zadního kolečka. Šrubovacím mechanismem může člověk přitlačit malý kovový váleček ke gumovému zadnímu kolečku a tak zpomalit jízdu. Vždy ale musíte zastavit a před kopcem přitáhnout a pod kopcem zase povolit.
  • Brzda zabudovaná přímo v lyži. Funguje asi na stejném principu jako předchozí, ale je přímo součástí lyže a člověk ji může ovládat na dálku. Sun Sport na testovacím dnu představil lyži, u které lze brzdy ovládat přes bluetooth tlačítky v hůlkách. Funguje to pěkně, ale cena lyží je několikanásobná oproti průměru.

Sun Sport provozuje taky půjčovnu, kde si můžete půjčit lyže asi za 200 Kč na den. Lyže na bruslení se mi ale na testovacím dni zalíbily natolik, že jsem si řekl, že bych na nich mohl trávit hodně času, a tak jsem se rozhodl, že si je přímo koupím. Kolečkové lyže se pohybují zhruba ve stejných relacích jako ty na sníh. Začínají na cenovce cca 2500 Kč. Mně se na testovacím dni nakonec nejvíc líbily německé SRB Skate SR05, které stojí zhruba dvakrát tolik a jsou tak někde v průměru.

Vázání se používá prakticky stejné jako na sníh (převážně NNN). Stejně tak hůlky se příliš neliší, jen nemají kroužky proti propadnutí do sněhu a hroty jsou z tvrdšího materiálu. Vzhledem k tomu, že jsem se chystal si koupit hůlky na skate na sněhu, vzal jsem kombinované od Swixu, kde člověk může vyměnit hroty a našroubovat kroužky a udělat z nich variantu na sníh. Boty se neliší nijak. Můžete použít klidně zimní. Jak na klasiku, tak na skate. Vzhledem k tomu, že na skate momentálně žádné nemám, rozhodl jsem se, že si koupím letní variantu od Alpiny. Ta se od zimní liší tím, že je prodyšnější.

Na lyžích jsem zatím najezdil asi 60 km. První a poslední karambol jsem zažil hned na prvním kilometru. Kdy se mi na nekvalitním asfaltu zasekla lyže a jak byla zpožděná, zapíchl jsem hůlku před ni a už jsem letěl 🙂 Zatím se mi stává, že se první kilometr stále cítím nejistě a musím se do toho dostávat. Jak si zvyknu, tak už to jde mnohem lépe a můžu do toho šlapat. Brzdy jsem si nakonec nepořizoval. Na mírné kopečky nejsou potřeba. Jestli někdy půjdu do větších, tak je asi budu muset scházet, protože ze sjezdů mám dost respekt. Není jak brzdit a na rozdíl od sněhu vás v případě pádu čeká přistání do tvrdého.

Sun Sport se snaží rozvíjet komunitu kolem kolečkového lyžování na portálu koleckovelyze.cz. Tam můžete najít třeba kalendář akcí, tipy na tratě nebo testování nových modelů lyží. Pokud jste vášniví běžkaři, rozhodně doporučuji kolečkové lyže vyzkoušet. Když nic jiného, tak je to skvělá příprava na zimní běžky. Někdy se totiž stane, že než se do toho člověk dostane, je po zimě 🙂


Huawei P10 Lite - aneb jak si (ne)vybrat telefon

květen
01
Petr Stehlík
Vybíral jsem si nový počítač do kapsy - říká se mu taky smartphone, nebo česky "chytrý telefon". Po třech spokojených letech s Google Nexus 5 (pokrevní bratr LG G2) to bylo věru těžké vybírání.

Nejsem "značkový" člověk, takže mi bylo poměrně jedno, kdo pro mě nový přístroj vyrobí. Taky moc nedám na vzhled, protože chci nové zařízení na práci a ne na předvádění se. Na čem mi naopak velmi záleží jsou technické parametry, nebo spíše poměr výkon/cena. Česky řečeno chci za zaplacené peníze dostat solidní protihodnotu, žádný naleštěný prd.

Logickým krokem z Google Nexus 5 by byl Google Nexus 5X. Snažil jsem se o něj v únoru a březnu, ale bohužel - co se přestal někdy loni na podzim prodávat oficiálními kanály, letos na jaře mu v těch neoficiálních (různé mírně pofiderní e-shopy) nesmyslně vystřelila cena o několik tisíc korun nad původní prodejní cenu a když jsem i to zvažoval překousnout, uvědomil jsem si, že na Nexus 5X je pozdě: už za čtyři měsíce mu končí hlavní podpora od výrobce, protože je tak starý - byl vydán v září 2015. Bezpečnostní záplaty sice bude dostávat ještě jeden další rok, ale to je málo, když ho chci mít nejméně tři další roky.

A podpora od výrobce (případně podpora od LineageOS) je dnes u smartphonu to nejdůležitější. Tak, jako nechcete používat neaktualizovaný operační systém plný děr při práci na PC v elektronickém bankovnictví a podobně (kdy hrozí reálné nebezpečí, že se někdo zmocní vašich peněz či identity), tak úplně stejně nechcete používat neaktualizovaný smartphone, ze stejného důvodu.

Takže jsem začal hledat přístroj s parametry jako Nexus 5X, ale vyrobený letos, a za rozumnou cenu. Automobilovým slangem jsem někde v nižší střední třídě, což je v částce kolem sedmi osmi tisíc korun. Za tuto cenu kupuju mobil co tři roky a myslím si, že to je tak maximum, co je rozumné vysolit za komunikátor, který člověka denně akorát okrádá o čas a soustředění :-)

Nexus 5X je ale těžký etalon. Má (oproti předchůdci) špičkový fotoaparát - s velkou světelností a obrovskými pixely, takže dokáže fotit téměř po tmě nádherné fotky. Navíc umí natáčet video i ve 4K rozlišení, což by se mi teď, když jsem ten samozvaný taky-jůtuber, jedině hodilo :-) A samozřejmě u něj výrobce nezapomněl na žádný z důležitých senzorů, mezi které řadím především kompas a gyroskop.

Kompas a gyroskop jsou totiž klíčové nejen na balení holek pod hvězdnou oblohou pomocí aplikace SkyMap, ale bez nich též rozumně nefunguje rozšířená ani virtuální realita. No a kdo chce něco přízemního, tak kompas je sakra důležitý při jakékoliv práci s mapou - ať už lovení kešek či navigování třeba při jízdě autem, typicky v tunelu bez signálu GPS.

Požadované parametry nového smartphonu jsou tedy dané: špičkový foťák s velkou světelností a velkými pixely pro kvalitní fotky plus natáčení 4K videa - nebo alespoň FullHD videa, ale za to s 60 snímky za sekundu. Dále všechny důležité senzory, k tomu nejlépe i NFC. Samozřejmosti typu USB OTG (pro připojení flešky, myši a klávesnice), BT 4.x, výkonný procesor, hodně RAM (alespoň 2 GB), hodně velký disk (alespoň 16 GB) a FullHD displej s Gorilla Glass II+ ani nezmiňuju, to jsou všechno základy, pod které nelze jít (to všechno Nexus 5 měl).

Co jsem naopak musel oželet je indukční nabíjení. Tato vymoženost Nexe 5, na kterou se tak rychle zvyká, za poslední dva roky z mobilů prakticky vymizela. Je to škoda, ale co nadělám. Třeba výměnou za to dostanu alespoň USB typu C, kde člověk nemusí zkoušet zastrčit konektor natřikrát.

Jo a zapomněl jsem na to nejdůležitější - umínil jsem si, že nový chytrý telefon musí mít čtečku prstů. Chci si totiž na mobil nainstalovat VPN do práce, a ta si vynutí uzamčení obrazovky telefonu a odemykání pinem, kresbou či kódem, což nejde dělat 100x za den, to prostě ne. Tohle zachrání jedině čtečka otisku prstu.

No a teď se konečně dostávám k té nebetyčné frustraci, které se snažím zbavit napsáním tohoto blog postu: je naprosto nemožné vybrat si telefon podle parametrů, protože SKUTEČNÉ PARAMETRY NEJSOU NIKDY ZNÁMY. Nebo si myslíte, že stačí použít jeden z mnoha katalogů telefonů, které mají i srovnávače? A věříte jejich údajům? Já už ne - poté, co jsem je vyzkoušel všechny a našel NAPROSTO PROTICHŮDNÉ a navzájem si ODPORUJÍCÍ údaje!

Když selžou katalogy, zkusme recenze. Pročetl jsem mnoho desítek recenzí (a viděl i několik videorecenzí) a myslel jsem si přitom, že z nich vyskočím z kůže. Tisíce slov o tom, jak je telefon úžasný, jak má 2,5D zakřivené sklo a pohodlně se drží v ruce (a podobné kydy), ale žádná tvrdá data! Chcete si vybrat telefon podle foťáku? To nejlepší, co možná zjistíte, je světelnost objektivu a počet pixelů, ale pokud chcete použitý čip, velikost jeho pixelů či třeba schopnost nahrávat video v 4K nebo FullHD@60 FPS, tak to už v recenzích nenajdete. A když najdete, tak klidně protichůdné či úplně vymyšlené údaje. Nebo seznam senzorů? Který recenzent dokáže alespoň vypsat senzory? ŽÁDNÝ. Potvrzení USB OTG jsem taky nikde konzistentně nenašel.

Dalším zdrojem informací by mohly být e-shopy, ale kvalita jejich informací se podobá srovnávačům. Navíc některé modely, které jsem měl v merku, ještě ani v českých e-shopech nebyly. V zahraničních e-shopech potom narážíme na další SMRTÍCÍ NEŠVAR, kterým je náš "špecifícky trh". K nám se totiž vozí oholené/ošizené telefony, které se nejen na západ, ale i na sever a na jih od nás prodávají v úplně jiných konfiguracích! To znamená, že je zcela kontraproduktivní snažit se najít informace na zahraničním webu, protože i když máte přesný typ telefonu, můžete ho v Česku koupit pod stejným názvem a přitom obsahující úplně jiný hardware!

Co nám ještě zbývá, když zklamaly informace od prodejců a recenzentů? Ještě můžeme zkusit informace přímo na webech výrobců, a pro kontrolu i informace od českých distributorů. Tohle všechno jsem taky zkusil a absolvoval a přesto pohořel jak papír.

Teď už budu konkrétní. Podle výše uvedeného zadání jsem si postupně vyselektoval asi 10 telefonů. Jeden byl Moto G5 Plus - podle všeho má špičkový foťák, ale prodává se jen v Indii (od 15.3., WTF?) a u nás se pořád nemůžu dočkat uvedení. A podle všech informací, které jsem shromáždil, Moto G5 Plus asi nemá kompas. Asi, jisté to není. Dokud ho ale nebudu mít v ruce a neověřím to, musím ho vyloučit - přes kompas nejede vlak.

Dalším výrobcem dobrých telefonů je Xiaomi. Jeho modely v mnou požadované výbavě (Redmi 4 PRO a Redmi 4 Note Global) jsou dokonce velmi levné - kolem 5 tisíc Kč (od českých e-shopů). Nepřekonal jsem ale obavu z upraveného Androidu ala iOS, který tam XIAOMI instaluje. Má sice početnou českou fanouškovskou základnu, ale já přicházím z čistého Androidu a nebyl jsem si jistý, že bych MIUI pobral. Podpora LineageOS je opožděná o roky, takže Redmi 4 ještě není a nikdo neví, bude-li. Proto jsem ho raději ze svého výběru vyřadil.

Posledním výrobcem, který mi zůstal, byl Huawei. Tento blázen ale zaplavil střední třídu asi 6 typy mobilních telefonů (P9, P8 Lite, P9 Lite, P8/9 Lite 2017, P10 Lite, Nova a ještě cosi), a k tomu navíc jeho další značka Honor doplnila můj výběr na rovnou desítku typů (Honor 8 a další). Pokoušet se mezi nimi vybrat podle parametrů byl hotový očistec. Informace chybí nebo se rozcházejí. Pisálci recenzí a naplňovači katalogů mobilních telefonů zjevně kopírují údaje opsáním z jiných modelů a tak generují chyby, které se dále šíří v recencích a způsobují nebetyčné zmatky.

Například Huawei P9 Lite 2017. Tento mobilní telefon vyšel asi před dvěma měsíci, ale na celém světě se prodává jako Huawei P8 Lite 2017. Jen u nás, ve specifické České republice, někdo "chytrý" usoudil, že když vyšel po loňském modelu P9 Lite, nemůže se letos prodávat jako P8 Lite 2017, a proto ho u nás distributor uvádí jako P9 Lite 2017. A to mám pocit, že má ještě třetí jméno v nějaké další části světa. Samý zmatky! A má kompas nebo nemá? Má USB OTG? Předchozí modely prý neměly... A jak umí nahrávat video? Někde píšou to a jinde ono, a teď babo raď!

Protože jsem na něj měl nejvíc políčeno, poprosil jsem nakonec známého prodejce o zapůjčení a telefon si vlastnoručně osahal. Závěr? Kompas má, gyroskop má, ale video natáčí jen FullHD s 30 snímky za sekundu. Málo, málo. Nebrat. Navíc - má 16 GB disk, ale volného prostoru jen 7,9 GB, tedy méně než polovinu! Pamatuju si úspěšné soudy v USA, když na telefonu s jablkem byla výrobcem zabraná čtvrtina udávané paměti a zákazníci to omlátili výrobci o hlavu - tu je pryč více než polovina udávané kapacity!

Posledním telefonem, který mi prošel sítem až na konec, byl zbrusu nový, u nás ještě neprodávaný Huawei P10 Lite. Nemohl jsem si ho osahat podobně jako ten P9 Lite 2017, a tak jsem se musel spolehnout na dostupné informace. Podle dvou zahraničních recenzí, podle dvou srovnávačů telefonů a především podle informací českého distributora značky Huawei tento telefon umí nahrávat FullHD video s 60 FPS! Měl by též splňovat všechny mé ostatní požadavky na parametry. Cenově mi sice trošku vyčnívá nad mou hladinu, ale dostanu 3 GB RAM (v celé EU pak 4 GB RAM) a 32 GB disk, což se "vyplatí". Tak bylo rozhodnuto - objednal jsem si ho a dnes ho mám tady na stole a můžu vám o něm napsat skutečnou pravdu.

Takže vám to napíšu rovnou: ani tento telefon NEUMÍ NAHRÁVAT VIDEO s 60 FPS. Navzdory informacím v recenzích. Navzdory informacím ze srovnávačů. A navzdory informacím od distributora značky Huawei!

To je prostě k vzteku. Několik týdnů vybírání a výsledek je, jako bych si hodil kostkou nebo sáhl poslepu do klobouku a něco si vytáhl. Promarněný čas. Zatracení recenzenti, zatracení distributoři. Takhle si tím taky-jůtuberem nikdy nestanu - 30FPS videa mě na špici nedostanou :-)

Tímto nabízím všem výrobcům a prodejcům telefonů, a také všem autorům webzinů o mobilních telefonech (kterých jen v Česku máme hned několik), že budu psát skutečné recenze, obsahující tvrdá data, ověřená fakta a údaje, na které se budou moci čtenáři spolehnout. Protože ten zmatek, který je online dnes, je opravdu k prdu.

Za pár dní používání nejspíš napíšu podrobnější pohled na Huawei P10 Lite, ale pro začátek vás možná zaujmou alespoň následující údaje: hned po prvním startu je volných 19,93 GB z celkem 32 GB disku. V systému je předinstalováno jen velmi málo balastu - Twitter, Facebook, Instagram a ještě cosi z aplikací, a Asphalt Nitro a Spiderman jako "velké" hry. Pak je tu nějaký loader pro další hry a to je tak vše. Dále je tu jedna jediná písnička a 24 fotek. Všechno se to dá bez potíží odinstalovat, ale zajímavé je, že volné místo na disku se nezvětší ani o bajt.

Huawei dodává "náhrady" ke Google kalkulačce, kalendáři, mailu, a také k počasí. Většina vypadá lépe než ty verze od Google. Je tu taky nějaká fitness aplikace, která je nějakým způsobem propojená do systému, neboť telefon ochotně počítá ušlé kroky a zobrazuje je dokonce i na zamčené obrazovce. Asi má tento Huawei nějakou HW podporu pro krokování, stejně jako to měl Nexus 5. NFC funguje, ale nepovedlo se mi ho použít pro přenos dat s Nexem. Vlastnosti EMUI 5.1 (grafické rozhraní, upravený Android) jsou zajímavé, gesta silně vyťukaná na sklo klouby prstů jsou divná ale funkční. Senzor otisku prstů je dobrý jak chleba - v tom recenze nelhaly. Více podrobností snad v nějakém dalším blogpostu.

Jo, a ta modrá varianta je fakt úžasná :-). Říkal jsem na začátku, že na vzhled nedám, ale tohle je teda paráda - záda telefonu opravdu hážou hru světel jako rozvlněná hladina vody...

Dopad navrhovaného nařízení o soukromí a elektronických komunikacích na bezplatný digitální obsah a služby

Dopad navrhovaného nařízení o soukromí a elektronických komunikacích na bezplatný digitální obsah a služby tereza.tumova@… Čt, 04/27/2017 - 13:30
Impact of Proposed ePR on Free Digital Content and Services_1Impact of Proposed ePR on Free Digital Content and Services_2

 

Jak digitální reklama podporuje bezplatný obsah a služby

Jak digitální reklama podporuje bezplatný obsah a služby tereza.tumova@… Čt, 04/27/2017 - 13:16
How Digital Advertising Supports Free Content and Services_1How Digital Advertising Supports Free Content and Services_2

 

Stanovisko profesních asociací Sdružení pro internetový rozvoj (SPIR), Unie vydavatelů (UV), Asociace televizních organizací (ATO) k návrhu novely živnostenského zákona z 24. dubna 2017

Stanovisko profesních asociací Sdružení pro internetový rozvoj (SPIR), Unie vydavatelů (UV), Asociace televizních organizací (ATO) k návrhu novely živnostenského zákona z 24. dubna 2017 tereza.tumova@… St, 04/26/2017 - 21:13

V souvislosti s probíhající revizí právního rámce pro ochranu osobních údajů a soukromí vnímáme potřebu chránit v přiměřeném rozsahu údaje podnikajících fyzických osob, které jsou zveřejňovány ve veřejných registrech. Projednávaná novela živnostenského zákona, zejména § 60 odst. 6 a 7, však předpokládá zavedení opatření, která považujeme za nepřiměřená a neodůvodněná.

Za odůvodněný považujeme zákaz zveřejňování a předávání vybraných osobních údajů, nikoliv však zákaz opětovného využití údajů získaných dálkovým přístupem z veřejné části živnostenského rejstříku. Zejména v případě novinářské činnosti se jedná o důležitý zdroj informací, které jsou dále použity a zveřejněny ve veřejném zájmu. Relevantní může být toto využití také pro účely internetových katalogů firem, a to např. pro účely kontroly a aktualizace údajů v nich uvedených a jejich výmazu v případě, kdy dojde k zániku živnosti. 

Navrhovaný nový systém zpoplatněného poskytování informací z živnostenského rejstříku na vyžádání považujeme oproti stávajícímu stavu za časově neefektivní a vytvářející administrativní a finanční zátěž jak pro úřady, tak pro občany, podnikatele i novináře. Navrhovaná novela jde rovněž proti evropským doporučením a principům jednotného digitálního trhu, k nimž se Česká republika hlásí (zejména principy tzv. digital first a digital by default).

V navrhovaném řešení spatřujeme taktéž určitý rozpor s § 4a zákona 106/1999 Sb., o svobodném přístupu k informacím, který hovoří o možnosti sdílení dat prostřednictvím rozhraní informačního systému nebo umožnění dálkového přístupu k informacím. Subjekty údajů navíc již dnes mohou požádat provozovatele digitální služby s odkazem na zákon č. 101/2000 Sb., o ochraně osobních údajů, o nápravu chyb v existujících elektronických rejstřících/katalozích firem. Subjekty údajů mohou dotčenou službu požádat rovněž o aktualizaci či ukončení zpracování svých osobních údajů. Seriózní firmy tuto skutečnost ve vlastním zájmu plně respektují a v případě námitky ze strany uživatele v dalším zpracování nepokračují.

Ochrana osobních údajů fyzických osob (včetně podnikatelských subjektů) je přitom s účinností od 25. 5. 2018 nově komplexně upravena jednotně pro celou EU také v Obecném nařízení o ochraně osobních údajů (č. (EU) 2016/679). Je přitom pravděpodobné, že všechny komerční katalogy bude nově celoevropsky jednotně upravovat také projednávané nařízení o soukromí a elektronických komunikacích (tzv. ePrivacy).

Vzhledem k výše uvedenému považujeme za vhodné přenechat úpravu této otázky právě těmto celoevropským předpisům a nepřijímat v tomto směru dílčí národní úpravu těsně předtím, než tyto předpisy nabudou účinnosti.

Doporučujeme proto, aby byly sporné pasáže v textu navrhované novely upraveny, a to následujícím způsobem:

§60 

(6) Na žádost vydá živnostenský úřad z veřejné části živnostenského rejstříku sestavu v listinné nebo elektronické podobě, jejímž obsahem mohou být pouze základní identifikační údaje o podnikateli, a to jméno, příjmení, nebo obchodní firma, popřípadě název, adresa sídla a identifikační číslo osoby, a dále, pokud to žadatel požaduje, předmět podnikání a umístění provozovny. Sestava obsahuje údaje platné ke dni zpracování sestavy. Pro zveřejňování této sestavy či její poskytnutí třetí osobě platí omezení podle zvláštních právních předpisů.[1] Tuto sestavu žadatel nesmí zveřejnit ani poskytnout třetí osobě.

(7) Údaje vedené ve veřejné části živnostenského rejstříku Živnostenský úřad České republiky zpřístupňuje v elektronické podobě způsobem umožňujícím dálkový přístup k těmto údajům. Takto zveřejněné údaje nelze znovu zveřejnit, to neplatí pro informační systémy veřejné správy. Pro další zveřejňování takto zveřejněných údajů platí omezení podle zvláštních právních předpisů1; to neplatí pro informační systémy veřejné správy. Údaje z veřejné části živnostenského rejstříku podle odstavce 5 písm. b) se rovněž vydávají jako ověřené výstupy z informačního systému veřejné správy podle zákona upravujícího informační systémy veřejné správy. Údaje z živnostenského rejstříku poskytuje Živnostenský úřad České republiky orgánům uvedeným v § 48, orgánům podle jiného právního předpisu a správnímu orgánu, pokud tyto údaje potřebuje pro výkon své činnosti, v elektronické podobě způsobem umožňujícím dálkový přístup, případně jiným dohodnutým způsobem. Při předávání údajů podle § 45a odst. 4 a § 45b se postupuje obdobně.

 

[1] zákon č. 101/2000 Sb., případně nařízení (EU) 2016/679

 

SPIR zve na konferenci k GDPR

SPIR zve na konferenci k GDPR tereza.tumova@… Út, 04/25/2017 - 13:40

SPIR je partnerem výroční konference Spolku pro ochranu osobních údajů u příležitosti jednoho roku do účinnosti Obecného nařízení o ochraně osobních údajů.

Na konferenci vystoupí zástupci dozorového orgánu, odborníci na ochranu dat a bezpečnostní a právní experti. 

KDY: 25. května 2017 od 9 do13 hodin
KDE: Konferenční centrum Microsoft, Brumlovka Business Centre, Vyskočilova 4a, Praha 4, CZ

Registrace na webu www.ochranaudaju.cz

pozvanka konference GDPR

 

Linuxový desktop: co vám chybí

Vstupů pro to, na čem máme v desktopovém týmu pracovat, máme několik: požadavky zákazníků, požadavky výrobců hardwaru, testy uživatelské přívětivosti, bug reporty a také prostě naše intuice, co by mohli uživatelé potřebovat. Někdy je hodně přínosné se uživatelů přímo zeptat. Můj šéf to dělá pravidelně, tak jsem si říkal, že to zkusím v češtině taky.

laptop-762548_640

Vše, co vyvíjíme, je primárně dělané pro Fedoru a Red Hat Enterprise Linux, takže by to mělo být mířeno primárně na uživatele těchto distribucí, ale vzhledem k tomu, že Red Hat je hlavní vývojářskou silou v linuxovém desktopu, většina toho, co děláme pro Fedoru a RHEL, se časem v nějaké formě objeví také v ostatních distribucích, takže se to dá vztáhnout na většinu uživatel Linuxu.

Momentálně připravuju plán vývoje pro Fedora 27 Workstation, která by měla vyjít na konci tohoto roku. Hodně věcí se tak projeví v GNOME 3.26, ale také hromadě dalších projektů, do kterých přispíváme. Proto by mě docela zajímalo, co uživatele na Fedora Workstation a na linuxovém desktopu obecně trápí a co bychom my mohli zlepšit (chápu třeba, že hodně uživatelů by chtělo Photoshop, ale to může změnit jen Adobe).

Pokud máte nějaké podněty, napište je prosím do komentáře, rád si je přečtu a v rámci možností se pokusím odpovědět. Nemůžu slíbit, že se budeme všem podnětům věnovat, ale můžu slíbit, že to bude seriózní vstup pro moje plánování. Prosím zachovejte konstruktivní přístup. Hejty budu ignorovat nebo rovnou mazat.


Velké změny pro linuxový desktop

Když Mark Shuttleworth před dvěma týdny oznámil, že Canonical končí s Unity, byl to velký šok. Ve světě linuxového desktopu možná nejdůležitější událost za posledních 10 let. Pro fandy Ubuntu a zvláště Unity to moc potěšující informace nebyla, troufnu si ale tvrdit, že to je skvělá zpráva pro linuxový desktop.

Sám jsem Ubuntu několik let používal. Přešel jsem na něj v roce 2006, když mi na notebooku fungovalo lépe než Mandriva, kterou jsem do té doby používal. Bylo to právě Ubuntu, které mě dovedlo ke GNOME, do kterého jsem o dva roky začal přispívat. Proces mého opouštění Ubuntu byl pozvolný. Postupně se začalo čím dál víc vzdalovat upstreamovému GNOME, některé komponenty byly i několik vydání staré, některé hodně upravené. Nic pro člověka, který se motá kolem upstreamu. Moje poslední vydání bylo Ubuntu 10.10, které jako poslední používalo GNOME.

S příchodem Unity se Ubuntu vydalo svou vlastní cestou. Nejdříve to byl jen samotný shell, který stále používal převážně GNOME, ale s Unity 8 a Mirem už to byl vlastní svět. Nikdy jsem ale neměl potřebu za to někoho napadat. Každý má právo si pracovat, na čem uzná za vhodné. Spíše jsem se k tomu stavěl s určitou skepsí. Red Hat zaměstnává zdaleka nejvíc vývojářů, kteří se věnují linuxovému desktopu (od ovladačů až po aplikace), ale vždy jsme si byli vědomi toho, že bez spolupráce s ostatními nemáme šanci, protože i společné síly jsou pořád malé oproti konkurenci Linuxu. Jít sami si můžou dovolit opravdu jenom giganti, kteří jsou schopní nalít do vývoje miliardy dolarů.

Nicméně i ve světě open source je konkurence zdravá a myslím si, že především v prvních letech GNOME 3 byla existence Unity docela slušných motivátorem a nebýt ho, tak se možná nezlepšovalo tak rychle. V posledních letech s tím, jak se vývoj Unity prakticky zastavil, už se tento stimul vytratil. Objevil se ale jiný – Mir. Ještě před Markovým oznámením jsem tvrdil, že pokud nic, tak Mir minimálně sehraje historickou roli v tom, že motivuje vývojáře, aby konečně začali makat na podpoře Waylandu, protože přesně to se stalo. Wayland jako protokol byl prakticky hotový, ale roky se o něm jen mluvilo. Musel přijít až Mir, aby se vývojáři probudili. A probudili se. GNOME už na Wayland dokázalo přejít a KDE není daleko.

Konkurence, která dokáže popohnat vývoj samotné platformy, ale už není tak dobrá pro ekosystém okolo ní. Především Wayland vs Mir bylo docela nepříjemné a IMHO zbytečné schizma linuxového desktopu. V ideálním světě aplikace používají grafické frameworky, které je odstíní od zobrazovací technologie, ale ve skutečném světě aplikace nedělají všechno jen přes framework a plno věcí si dělají sami a komunikují přímo s X, takže jejich přechod na jeho nástupce není triviální a v případě dvou takových technologií je to zbytečná práce navíc.

To už je ale dnes minulost. Vypadá to, že linuxový desktop se už s definitivní platností sjednotí na Waylandu jakožto nástupci X11, a Ubuntu se vrátilo zpátky ke kořenům, ke GNOME. Hodně lidí se těšilo, že Canonical začne místo do vlastních projektů přispívat do upstreamu. Bohužel to vypadá, že vlna propouštění s sebou vzala téměř celý desktopový tým a Ubuntu se spíše zařadí mezi distribuce, které prostě jen přebírají, s čím přijde upstream a vývojářskou iniciativu přenechávají na jiných. Ale už to, že ke GNOME nazpátek přivede svoji velkou uživatelskou základu, je docela slušný příspěvek a GNOME to hodně pomůže už jenom vyšším počtem potenciálních přispěvatelů. Nakonec i mě přivedlo ke GNOME právě Ubuntu.

Jsem také zvědavý, zda a nakolik to otřese s pozicí Ubuntu v desktopovém segmentu. Ubuntu se drží na špičce popularity už zhruba 10 let. Většina uživatelů Linuxu už si ani nepamatuje časy, kdy bylo populárnější něco jiného. Na přelomu tisíciletí to byl ale Red Hat Linux, který přiváděl lidi k Linuxu především. Potom to byl Mandrake/Mandriva, s kterým jsem začínal i já. Nikde není psané, že se to nemůže po letech zase změnit.

Pro nás ve Fedoře jsou to zajímavé časy. Podle různých indikátorů, které sledujeme, neměla Fedora nikdy tolik uživatelů, kolik má nyní. Pořád rosteme a potenciál je velký. Roste zájem taky o samotné GNOME, s kterým je Fedora Workstation hodně spojená. Dozrávají i další technologie jako Flatpak nebo Wayland. Linuxový desktop také roste jako celek a vypadá to, že úprk uživatelů k macOS, kterého jsme byli svědky před několika lety, se zastavil nebo i obrátil. Myslím, že budoucnost bude ještě hodně zajímavá, a rád bych byl u toho.


Nová čidla pro WiFi Teploměr - měření vysoké teploty a vlhkosti

Před třemi měsíci jsem psal zhodnocení WiFi Teploměru s termostatem v roce 2016 spolu s výhledem na rok letošní. Nyní je čas ukázat, co se povedlo za první tři měsíce nového roku vymyslet a postavit. Na konci článku je zábavné video! :-)

Měření vysokých teplot

Můj WiFi Teploměr umí díky digitálním čidlům DS18B20 měřit teploty v rozsahu -55 ℃ až 125 ℃. Na měření teploty vzduchu nebo vody to stačí, ale objevily se i žádosti o měření mnohem vyšších teplot. Například se mi ozvali lidé, kteří udí maso a rádi by měli přehled o dění v udírně, zatímco sedí v nedaleké hospůdce u vychlazeného půllitru. Podobným případem je měření teplot spalin v komíně, protože řízení dnešních moderních kotlů na tuhá paliva je úplná věda. Určitě existuje i řada dalších míst či situací, kde bychom rádi měřili teploty nad 125 ℃.

Pro tyto případy jsem vymyslel a postavil následující převodník, který dokáže na 1-Wire sběrnici (kterou WiFi Teploměr používá) připojit klasický termočlánek. Ten je z kovu, a proto vydrží i vysoké teploty - běžně až 600 ℃, přičemž teoretické maximum převodníku je 1000 ℃:


Zásadní výhodou je, že se na jednu sběrnici (na jeden kabel) dá připojit libovolný počet těchto převodníků, tedy libovolný počet termočlánků měřících vysoké teploty na různých místech:


Podobné řešení jsem hotové nenašel a proto ho považuji za docela unikátní. Samozřejmě se dají na stejné sběrnici kombinovat tyto převodníky na měření vysoké teploty s klasickými čidly DS18B20 na měření běžných teplot. I proto přichází můj převodník rovnou s 3,5mm stereo jackem, jak je používám pro jednoduché budování sítě teplotních čidel pro WiFi Teploměr.

Měření vlhkosti

Kromě měření teplot v obytných místnostech (pro účely řízení vytápění či větrání) se od zájemců o WiFi Teploměr často objevovaly požadavky na měření vlhkosti vzduchu. Dlouhou dobu jsem to považoval za nevýznamné, ale nedávno mi praskl filtr vody ve sklepě, tryskající voda přímo z vodovodní přípojky vytopila čtyři místnosti a rázem mě začalo velmi zajímat, jak vlhko tam je a jak (pomalu) postupuje vysoušení těch místností zrovna během nejsilnějších mrazů.

Samozřejmě je vhodné měřit vlhkost vzduchu i při běžných situacích - například v koupelně po sprchování je dobré vědět, jak dlouho musí být zapnutý ventilátor, než vysaje přebytečnou vlhkost (což by ostatně mohl řídit i WiFi Teploměr s termostatem). Anebo v obytných místnostech naměřená hodnota vlhkosti napoví, kdy je potřeba vlhkosti do vzduchu přidat (typicky přetopené panelové byty) či naopak ubrat (typicky dokonale zaizolované novostavby, kde vodní pára z vaření, praní, mytí a vůbec dýchání lidí dokáže nadělat paseku). Další velkou oblastí je pěstování rostlin, například ve sklenících. Tam potom může WiFi Teploměr s termostatem řídit větrání nejen podle teploty, ale i podle vlhkosti.


Proto jsem postavil digitální vlhkostní čidlo, které dokáže poměrně přesně měřit v celém rozsahu 0 - 100 % relativní vlhkosti vzduchu. Kromě vlhkosti měří velmi přesně i teplotu v rozsahu od -40 do 125 ℃, takže toto čidlo dokáže nahradit i klasické čidlo DS18B20 na měření teploty! Toto čidlo je také určeno pro klasickou 1-Wire sběrnici a opět jich může být připojeno na jednom kabelu několik naráz. Stejně tak je možné kombinovat tato čidla vlhkosti s běžnými čidly pro měření teploty a taky s mými převodníky pro měření vysoké teploty:


Vlhkostní čidla pro 1-Wire sběrnici jsem na trhu nenašel a proto, podobně jako výše popsaná čidla pro měření vysoké teploty, považuji toto své řešení za unikátní. Navíc jsem si dal záležet i na vzhledu: inspiroval jsem se čistou barvou známou z jablečných výrobků a navrhl a vytiskl jsem malinkou krabičku na 3D tiskárně. Myslím, že toto čidlo v interiéru ostudu nenadělá.


Čidlo vlhkosti (a teploty) je opět určeno pro můj WiFi Teploměr, takže je připraveno k okamžitému zařazení do sítě čidel pouhým zasunutím stereo jack konektoru do stereo rozdvojky.
Aktuální verze je určena do interiéru, pro pokojové teploty.

Dostupnost a podpora

Převodník pro měření vysokých teplot termočlánkem i digitální vlhkostní čidlo jsou dostupné na www.teploty.info/cidla.html. Jsou podporované WiFi Teploměrem v aktuální verzi firmware (v7.9, březen 2017). Starší verze firmware nebudou s těmito novými čidly pracovat ideálně a proto bude vhodné ho aktualizovat. Taktéž stránky i grafy na www.teploty.info jsou připravené zobrazovat kromě naměřených teplot i vlhkost.

Zábavné video nakonec




Nový, digitální laboratorní zdroj

Starý zdroj a jeho neduhy


Před třemi lety jsem si postavil "laboratorní zdroj" prakticky zadarmo z ATX zdroje z vyřazeného PC. Tady o tom nadšeně bloguji. A takto vypadal:


Na první pohled vše fungovalo dobře, ale časem se ukázala jedna výrobní vada, jedna konstrukční chyba a dva fatální nedostatky celého zdroje. Výrobní vadou bylo, že při velkém proudovém nárazu se zdroj jednoduše vypnul. Zafungovaly tam zbytky nějaké nadproudové ochrany, a protože úprava ATX zdroje na proměnlivé napětí byla velmi nedokonalá a krutá, nadproudová ochrana spínala v podstatě náhodně i u malých proudů, přestože zdroj měl být schopen dodávat až 12 ampér.

Konstrukční chybou bylo použít jeden displej pro výstupní napětí i odebíraný proud. Měl jsem tam sice přepínač mezi napětím a proudem, takže jsem si mohl pořád přepínat sem a tam, ale jak člověk nevidí obě klíčové hodnoty naráz, je to nešikovné.

No a ty dva fatální nedostatky? Prvním je chybějící omezení výstupního proudu. Pokud jsem totiž zapojil jakýkoliv pokusný obvod špatně, tak po připojení k tomuto "laboratornímu" zdroji obvykle následovaly kouřové efekty a jak známo, kouř je uzavřený uvnitř součástek, a jakmile jednou unikne, součástku už nic nepohání a proto přestane fungovat. Kdybych měl možnost omezit proud ze zdroje třeba na 50 mA, tak by mi přežilo mnoho součástek při mých pokusech.

Druhý fatální nedostatek je vlastně taky konstrukční chybou, ale samotného ATX zdroje. Projevilo se to, když jsem se snažil změřit odběr proudu obvodu s ESP8266 pomocí mého nového a velmi drahého digitálního osciloskopu. Stalo se to 20. června 2016 a tehdy jsem to popsal na mém Google+ profilu: https://plus.google.com/+PetrStehlík/posts/6pjpoezBvHe

Ve zkratce jde o to, že "záporný" pól ATX zdroje (tedy společná zem na sekundární straně) je vodivě propojen s ochranným kolíkem v elektrické zásuvce! To jsem vůbec netušil. No a jelikož je i zemnicí vývod osciloskopové sondy připojen také na ochranný kolík v elektrické zásuvce (což jsem taky netušil), tak kdykoliv něco měřím osciloskopem v obvodu napájeném z mého starého "laboratorního" zdroje a zemnění osciloskopické sondy nemám připojeno na zem obvodu, tak část obvodu krutě zkratuju přes přívodní kabely ATX zdroje a osciloskopu a elektrické vedení v domě!

Po této nepříjemné zkušenosti jsem se rozhodl, že můj nový laboratorní zdroj musí být galvanicky zcela oddělený od elektrické sítě, včetně ochranného kolíku. Nejjednodušší bude použít zdroj třeba k notebooku, kde jsem si proměřením ověřil, že k ochrannému kolíku sekundární strana vodivě připojena není.

No a tady už prozrazuji, o čem vlastně tento blog post je - ostatně jsem to hned v srpnu 2016 nakousl na Google+:
https://plus.google.com/+PetrStehlík/posts/L4PeEYdzkk3

Nový zdroj


Koupil jsem si totiž v Číně docela levný modul, který má zjevně sloužit ke stavbě zdroje. Jmenuje se
DP30V5A a je to prý upgraded version DPS3005 (nebo naopak?). Vlastnosti jsou popsány takto: Constant Voltage current Step-down Programmable converter Power Supply Ammeter voltmeter Module.

Z popisu můžeme vytušit, že je to digitálně řízený (programovatelný) zdroj konstantního napětí či konstantního proudu, který mění vstupní stejnosměrné napětí na výstupní jako step-down konvertory, takže téměř beze ztrát. Výstupní napětí může být až 30 V (ale vždy o cca 2 V nižší než napětí vstupní), výstupní proud až 5 A (to podle výkonu zdroje na vstupu, díky step-down konverzi může být výstupní proud i vyšší než proud ze zdroje).

Kromě této verze na 30 V a 5 A jsou k dostání další varianty lišící se maximálním výstupním napětím (až 50 V) a proudem (až 15 A). Můžete si vybrat, podle toho, jak silný zdroj vstupního stejnosměrného napětí máte a jak moc velký proud budete na výstupu potřebovat.


Všechny verze mají společné velmi jemné nastavování výstupního napětí a proudu: napětí v setinách voltu a proud dokonce v jednotkách miliampér! Velmi úžasné a praktické.


Krabička je křehká, návod čínsky:


Balení pofiderní, ale cestu přežilo celkem bez úhony:


Modul je připraven k montáži do nějakého panelu:


Zezadu  je vidět pořádná cívka, pěkné kondenzátory a poctivý chladič. Celkem to vzbuzuje důvěru, nebo aspoň naději:


Jak mi koncem července 2016 přišel, ihned jsem mu zapojil na vstup 90W zdroj od notebooku (18 V a 4,5 A), a na výstup jsem připojil kablík s napájecím jackem 5,5 mm / 2,1 mm.

Od té doby jsem ho takto používal prakticky denně a nemohl si vynachválit, jak úžasné je mít možnost omezit výstupní proud zdroje. Skutečně to používám neustále a už mi to mockrát zachránilo [vy víte co]. Teď se mi smějí všichni čtenáři, kteří už skutečný laboratorní zdroj doma mají roky, ale pokud je tu ještě někdo, kdo doma zdroj s omezením proudu nemá, tak ihned pořídit! Je to prostě nepostradatelná věc.

Už mě ale unavilo to pořád nosit takto rozdělané a proto jsem se rozhodl mu pořídit pěknou krabičku. Hlavně jsem chtěl na vstup přidat konektor, abych mohl připojovat jakýkoliv zdroj od kteréhokoliv notebooku, a ssebou přenášel jen tento maličký modulek a nikoliv neskladný zdroj k ntb spolu se všemi jeho kabely.

Díky 3D tiskárně i3 MK2 už nemusím krabičky vytesávat ze dřeva či železa. Stačí si je navrhnout a vytisknout. Tady jsem udělal začátečnickou chybu, a nepodíval se nejdřív na internet, kde bych jinak našel už hotovou krabičku (protože všechno, co děláte, už někdo udělal před vámi a navíc nahrál na internet - Jára Cimrman by mohl vyprávět).

Místo toho jsem se (oslněn mými aktuálními úspěchy v modelování 3D objektů) vrhl ihned na tvorbu krabičky na míru. Měl jsem docela jasnou představu zkoseného čelního panelu (aby byl displej dobře čitelný a ovládací prvky dobře přístupné), ale nevěděl jsem přesně, jak bych to jednoduše udělal v mém oblíbeném OpenSCADu. Proto jsem zkusil cloudový CAD Onshape.com, ve kterém jsem zatím naprostým nováčkem. Tady je výsledek mého krátkého snažení (šlo v něm tvořit nečekaně pohodlně a rychle!): krabička laboratorního zdroje (na OnShape.com si ji můžete zkopírovat, upravit a vytisknout).


A takto vypadá výsledek:


Krabičku jsem vytiskl z PETG, aby vydržela vyšší teploty, pokud by se modul zahříval (ve skutečnosti se mi ještě nikdy neohřál, protože vysoké proudy při své běžné práci nepoužívám, ale co kdyby jednou...). Nahoře jsem přidal i řadu větracích otvorů, aby to vypadalo úplně profi :-) Vzadu je pak konektor, který jsem vypreparoval z jednoho notebooku. Byla to taková šikovná kostička, dokonce měla na boku otvor pro šroubek, tak jsem ji tam přišrouboval - přesně tam sedí.



Na výstupu by každý z vás čekal typické banánky, ale já jsem je tam schválně nedal a místo toho jsem zezadu opět vyvedl jen kablík s napájecím jackem 5,5 / 2,1 mm. Doma do něj zapojuju vše počínaje WiFi Teploměry, přes různá Arduina a mám i propojku s krokosvorkami, takže si skutečně plně vystačím i bez klasických banánků.


A to je vlastně vše. Modul je krásně digitální, nastavím si poměrně pohodlně výstupní napětí a proud (oboje pak přesně drží i pod proměnlivou zátěží), vidím neustále napětí, proud i celkový příkon a je tam i deset pamětí pro vlastní přednastavené hodnoty (které zapomínám používat). Levná (cca 600 Kč) a přitom opravdu funkční věc, kterou vřele doporučuji! :-)

Ještě jsem neodolal a natočil krátké video, kde ukazuju, jak jednoduše se modul obsluhuje:


Tak a to je vše! Pokud jste nevěděli, jaký zdroj si pořídit, tak teď už snad víte :-)

IAC 2017 poukázala na rizika regulace internetu

IAC 2017 poukázala na rizika regulace internetu tereza.tumova@… St, 04/19/2017 - 12:14

Praha 19. dubna 2017 ­– Obecné nařízení o ochraně osobních údajů (GDPR), nejistota ohledně budoucí podoby nařízení ePrivacy nebo sílící snaha státu dostat ve světle aktuálních hrozeb pod kontrolu všechny informace na síti – to byla témata, která se prolínala několika prezentacemi dnešního desátého ročníku Internet Advertising Conference (IAC) pořádané Sdružením pro internetový rozvoj (SPIR). Pozornost věnovaná legislativnímu rámci, ve kterém se odehrává digitální byznys, potvrzuje, že firmy velmi intenzivně začínají řešit nejen technické otázky, ale i soulad s evropskými normami, související finanční dopady a volají po konkrétních návodech.

“Stát, komerční firmy a uživatelé vyostřují zápas o to, kudy povede čára soukromí, uživatelské přívětivosti, byznysové efektivity, státní kontroly a občanských svobod,” uvedl svou zahajovací řeč Ján Simkanič, předseda výkonné rady Sdružení pro internetový rozvoj (SPIR). “Jen při plném nasvícení rizik, přínosů a technologických detailů jsme schopni pochopit, co je ve hře a na jakou stranu se postavit,” dodal Ján Simkanič.

V sále věnovaném tématům státní správy probíhala živá diskuse nad neuspokojivou podobou eGovernmentu. Michal Bláha, zakladatel serveru hlidacstatu.cz zmínil některé slabiny: stát neukazuje, jak utrácí, chce skrývat již jednou otevřená data, neposkytuje veřejnosti přístup k informacím, jako je například kvalita vody, meteorologické údaje a další. Politická reprezentace se dostatečně nevěnuje eGovenmentu, protože občané dosud nezažili skutečně fungující elektronické služby státní správy, a nevyvíjejí proto tlak na politiky, aby je zlepšili.

V diskusi o autorském právu zdůraznil Ondřej Kulhánek ze společnosti Bontonfilm, že filmový trh se rychle přizpůsobil digitálnímu prostředí, nicméně stávající legislativa neumožňuje efektivně odstraňovat ilegální obsah.

Hlavní diskuse v sále věnovaném státní správě se vedla o GDPR a návrhu ePrivacy. Hlas byznysu označil legislativní návrhy a výklady regulátorů pro internetovou branži za nesrozumitelné a technicky neproveditelné. Zdůraznil, že průmysl má zájem na tom data svých uživatelů chránit. Regulace uživatelskou zkušenost nezlepšují, naopak hrozí, že za obsah dosud poskytovaný zdarma budou muset platit.

V debatě o kyberbezpečnosti a kontroverzní novele zákona o vojenském zpravodajství uvedl Václav Mach z Microsoftu základní podmínku funkční kybernetické obrany, kterou je spolupráce státu se soukromým sektorem, jejíž podoba je předem známá a v ideálním případě otestovaná. „Ušlechtilé záminky kybernetické bezpečnosti a obrany se nemohou stát záminkou pro nepřiměřenou, špatně nadefinovanou a zneužitelnou pravomoc represivních orgánů státu," doplnil Ján Simkanič.

Internet Advertising Conference (IAC) je tradiční akcí Sdružení pro internetový rozvoj (SPIR). Letos proběhl již 10. ročník, kterého se zúčastnilo více než 45 přednášejících a téměř 600 účastníků. Ročenky projektů NetMonitor a AdMonitoring naleznete ke stažení pod článkem.

14 miliard na rychlý internet je v ohrožení, varují experti

14 miliard na rychlý internet je v ohrožení, varují experti tereza.tumova@… Út, 04/18/2017 - 10:41

Praha, 12. dubna 2017 – Platforma odborné veřejnosti pro budování vysokorychlostních sítí, zastřešující odborníky z asociací a podnikatele v elektronických komunikacích, na jednáních opakovaně a bezvýsledně upozorňovala Ministerstvo průmyslu a obchodu, že je ohroženo čerpání 14 miliard Kč určených na podporu internetových sítí nové generace (NGA).

Podle odborného názoru Platformy jsou v dokumentech zveřejněných ministerstvem k dotačnímu programu OP PIK – 4.1 Vysokorychlostní internet porušovány Pokyny EU k použití pravidel státní podpory ve vztahu k rychlému zavádění širokopásmových sítí (Sdělení Komise 2013/C 25/01) a nejsou dodržovány principy Vládou schváleného Národního plánu rozvoje sítí nové generace.

Tyto skutečnosti, stejně jako fakt, že není dostatečně garantována ochrana investic do existujících sítí, vyvolávají obavy, že schválené dotační projekty budou snadno zpochybnitelné ze strany Evropské komise či Úřadu pro ochranu hospodářské soutěže a dotace nebudou proplaceny. Pro telekomunikační společnosti tak je riskantní připravovat dotační projekty. Tzv. bílé oblasti, kam má podpora směřovat, mohou zůstat i nadále bez rychlých internetových sítí.

Zástupci Platformy, kteří se účastní pracovních skupin zřízených MPO, dlouhodobě na tyto nedostatky upozorňovali. Jejich připomínky nicméně nebyly bez řádného zdůvodnění zapracovány. Česká republika by tak kvůli neochotě na straně Ministerstva průmyslu a obchodu při přípravě dokumentů akceptovat zásadní připomínky nejen zástupců Platformy mohla přijít o jedinečnou možnost využít dotačních prostředky na vybudování telekomunikačních sítí nové generace zejména ve venkovských oblastech.

Hlavní výhrady Platformy jsou podrobně popsány v přiloženém dopise ministrovi průmyslu a obchodu. Výtky nicméně směřují především proti právně nejistému procesu nápravy chyb hodnotících kritérií a proti skutečnosti, že není zajištěna ochrana existujících internetových sítí, splňujících parametry NGA.

Zástupci Platformy na tato pochybení upozorňovali Ministerstvo průmyslu a obchodu dlouhodobě a opakovaně. I přes neuspokojivé výsledky dosavadní spolupráce je Platforma odborné veřejnosti připravena maximálně přispět k tomu, aby mohly být dotační prostředky na sítě NGA úspěšně čerpány a lidé v bílých místech měli přístup k vysokorychlostnímu internetu.

O Platformě odborné veřejnosti pro budování vysokorychlostních sítí

Expertní Platforma vznikla v reakci na požadavek MPO na jednotné komunikační fórum, reprezentující v jednáních s ministerstvem názor odborné veřejnosti a podnikatele v elektronických komunikacích. Hlavní snahou Platformy je nalezení takových podmínek, které umožní zpřístupnění vysokorychlostního internetového připojení co největšímu počtu domácností v intervenčních oblastech, a to ruku v ruce s podporou fungující hospodářské soutěže a ochranou již realizovaných investic.

Členy Platformy jsou:

  • Asociace operátorů digitální telefonie (AODT)
  • Asociace provozovatelů kabelových a telekomunikačních sítí v ČR (APKT)
  • Asociace provozovatelů mobilních sítí (APMS)
  • Česká asociace elektronických komunikací (ČAEK)
  • Česká asociace telekomunikací (ČAT)
  • Český telekomunikační klastr (ČTKK)
  • Hospodářská komora České republiky
  • ICT Unie
  • Sdružení pro internetový rozvoj (SPIR)
  • Svaz průmyslu a dopravy České republiky
  • Výbor nezávislého ICT průmyslu (VNICTP)

Arduino, OpenSCAD a krokové motory

Měl jsem doma už dlouho hromádku krokových motorů odněkud ze šrotu, a když jsem teď měl chviličku volna a nápad na věc, kde by byl krokový motor nezbytný, pokusil jsem se je oživit. V následujícím videu vše ukazuju a vysvětluju:



S pomocí příkladů od knihovny Stepper, která je standardní součástní Arduino IDE, jsem napsal následující jednoduchý prográmek pro otočení krokového motoru o osminu otáčky (o 45 °) po stisknutí tlačítka připojeného na pin A0 a zem:

#include <stepper.h>

const int stepsPerRevolution = 50;
Stepper myStepper(stepsPerRevolution, 2, 3, 4, 5);

void setup()
{
pinMode(A0, INPUT_PULLUP);
myStepper.setSpeed(60);
}

void loop()
{
static byte krok = 0;
if (!digitalRead(A0)) {
myStepper.step(6 + (((krok++ % 4) == 0) ? 1 : 0));
delay(100);
}
}


SCAD zdrojový kód pro unašeč CD, nasazený na hřídeli krokového motoru. Používá knihovnu Gears pro vytvoření ozubené díry. Vytištěno z PETG na i3 MK2 za 16 minut:

include <gears.scad>;
zuby_h = 7.4;
cd_d = 14.9;
cd_h = 1.2;
vyska = 8;
union() {
difference() {
cylinder(vyska, d1=18, d2=30);
linear_extrude(height = zuby_h) gear(number_of_teeth=15, circular_pitch=100, clearance = 0);
}
translate([0, 0, vyska]) cylinder(cd_h, d1=cd_d, d2=cd_d);
}


SCAD zdrojový kód pro podstavec motoru, aby tento necestoval po stole. Vytištěný také z PETG, protože motor se zahřívá (i když stojí!), takže podstavec z PLA (ze kterého jinak tisknu vše) by se pod ním nejspíš roztekl:

prumer = 60;
vyska = 2.4;
dira_d = 12;
dira_h = 2.2;
roztec = 49.5;
sloup_d = 6;
sloup_h = 13.4;
sroub_d = 2.8;
sroub_h = 6;
union() {
difference() {
cylinder(vyska, d1=prumer, d2=prumer);
translate([0, 0, vyska - dira_h]) cylinder(dira_h, d1=dira_d, d2=dira_d);
}
translate([roztec/2, 0, vyska]) sloupek();
translate([-roztec/2, 0, vyska]) sloupek();
}

module sloupek() {
difference() {
cylinder(sloup_h, d1=sloup_d, d2=sloup_d);
translate([0, 0, sloup_h-sroub_h]) cylinder(sroub_h, d1=sroub_d, d2=sroub_d);
}
}

A to je vše :-)

Registrace na nový ročník opendatového hackathonu byla spuštěna! Tento rok otevíráme Brno!

Fond Otakara Motejla vás opět zve na největší hackathon nad otevřenými daty, který se tentokrát koná v Brně!

Pozvánka na 139. sraz OpenAlt – Praha

duben
15
Openalt.org

Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě IoT a radiokomunikace?

Přijď na sraz spolku OpenAlt, který se bude konat ve středu 19. dubna od 18:30 v Šenkovně (Sokolská 60, Praha 2).

139. sraz fandů otevřených řešení zavítá do Pirate Space Brno

duben
14
Openalt.org

139. sraz nadšenců otevřeného přístupu proběhne v pátek 21. dubna 2017 od 18 hodin v Pirate Space Brno. Na adrese Údolní 37 je třeba nejprve projít dřevěnou branou Zahrady Ambrosia (dříve Zahrada café therapy) a po levé straně v rohu sestoupit do pirátského podpalubí. O lodních sucharech nebudeme, jídlo i pití si lze vzít z Ambrozie nebo přímo u nich. Na získání nápojového lístku a stálého i týdenního menu pracujeme.